Salam əziz oxucular, bu gün sizə Kiberəhlükəsizlik həllərindən olan Wazuh haqqında danışacağıq.Wazuh, açıq mənbəli və çox funksiyalı bir təhlükəsizlik platformasıdır. Bu platform, təhlükəsizlik məlumatlarının toplanması, təhlili və idarə edilməsi üçün istifadə olunur. Wazuh, müxtəlif sistemlər və mühitlər üzrə təhlükəsizlik monitorinqi, təhlükəsizlik hadisələrinin aşkarlanması, uyumluluğun təmin edilməsi, təhlükəsizlik boşluqlarının izlənməsi və hadisələrə cavab vermə kimi funksiyaları həyata keçirir.
Əsas funksiyaları:
- Təhlükəsizlik Monitorinqi: Wazuh, şəbəkə və sistem hadisələrini izləyir, analiz edir və şübhəli fəaliyyətləri aşkar edir.
- Uyumluluq Auditi: Uyumluluğun təmin edilməsi üçün fərqli standartlar (məsələn, GDPR, HIPAA) ilə uyğunluq analizləri aparır.
- Güvənlik Boşluqlarının İdarə Edilməsi: Əməliyyat sistemləri və tətbiqlərdəki zəiflikləri aşkar edir və aradan qaldırılması üçün təkliflər verir.
- Hadisə İdarəetməsi: Kibertəhlükəsizlik hadisələrinə cavab verərək təsirlərini minimuma endirir.
Wazuh, mərkəzsiz təhdid idarəçiliyi və geniş miqyaslı şəbəkələr üçün idealdır, həmçinin açıq mənbəli olması səbəbindən geniş istifadəçi dəstəyinə malikdir.
Wazuh-un əsasları, bu açıq mənbəli təhlükəsizlik platformasının necə işlədiyini və hansı əsas komponentlərdən ibarət olduğunu anlamaq üçün vacibdir. Onun əsasları aşağıdakılardan ibarətdir:
1. Agentlər
Wazuh agentləri, təhlükəsizlik məlumatlarını toplamaq və analiz üçün mərkəzi serverə göndərmək məqsədilə sistemlərə (serverlərə, iş stansiyalarına) quraşdırılan kiçik proqramlardır. Bu agentlər müxtəlif mənbələrdən loqları toplayır, fayl bütövlüyünü yoxlayır, zəiflikləri aşkar edir və şəbəkə fəaliyyəti ilə bağlı məlumatları analiz edir.
2. Mərkəzi Server (Wazuh Server)
Wazuh serveri, topladığı məlumatları analiz etmək, hadisələri aşkar etmək və agentlərlə ünsiyyət qurmaq üçün əsas komponentdir. Bu server:
- Təhlükəsizlik hadisələrinin aşkarlanması üçün analizlər aparır.
- Uyumluluq yoxlamalarını həyata keçirir.
- Agentlərdən gələn məlumatları toplayıb emal edir.
3. Elastic Stack (ELK Stack) inteqrasiyası
Wazuh, təhlükəsizlik məlumatlarını vizuallaşdırmaq və axtarış etmək üçün Elastic Stack (ELK Stack) ilə sıx şəkildə inteqrasiya olunur. ELK Stack üç əsas komponentdən ibarətdir:
- Elasticsearch: Məlumatların saxlanılması və sorğuların həyata keçirilməsi.
- Logstash: Məlumatların toplandığı yerə emal edilir.
- Kibana: Təhlükəsizlik analitiğini vizuallaşdırmaq üçün interfeysdir. Wazuh vasitəsilə toplanan məlumatlar Kibana-da qrafik və diaqramlarla təqdim olunur.
4. Hadisə aşkarlanması və SIEM Funksiyaları
Wazuh, real vaxtda hadisələri izləyir və təhlil edir. Bu, Təhlükəsizlik Məlumatı və Hadisə İdarəetmə (SIEM) funksionallığına malikdir. Hadisələrdən toplanan məlumatlar əsasında müxtəlif hücum növləri və şübhəli fəaliyyətlər aşkar edilə bilir, məsələn:
- Şəbəkə skanları.
- Fayl dəyişiklikləri.
- Zəifliklər.
5. Uyumluluq Auditi
Wazuh, müasir sənaye standartlarına (məsələn, PCI DSS, HIPAA, GDPR) uyğunluq üçün avtomatlaşdırılmış auditlər aparır. Bu, təşkilatların hüquqi və təhlükəsizlik tələblərinə riayət etməsinə kömək edir.
6. Fayl tamlığının monitorinqi
Wazuh, fayl və qovluqlarda baş verən dəyişiklikləri izləyir, sistemdə gözlənilməz və ya icazəsiz dəyişikliklər edildikdə dərhal xəbərdarlıq edir. Bu, zərərverici proqramların və ya kənar təhdidlərin erkən aşkarlanması üçün vacibdir.
7. Zəifliklərin idarə edilməsi
Wazuh, sistemlərdəki zəiflikləri aşkar edir və bunların aradan qaldırılması üçün tədbirlər təklif edir. Agentlər vasitəsilə OS-nin və tətbiqlərin zəif nöqtələrini skan edir və məlum zəifliklərə qarşı tədbir görülməsi barədə xəbərdarlıq edir.
8. Şəbəkə Təhlili
Wazuh, şəbəkə trafikini analiz edərək hücumları, qeyri-adi hərəkətləri və şübhəli fəaliyyəti aşkar edir. Bu, potensial hücumları erkən müəyyən etməyə və qarşısını almağa kömək edir.
9. Avtomatlaşdırılmış cavablandırma
Wazuh, təhlükəsizlik hadisələrinə avtomatlaşdırılmış cavab vermək qabiliyyətinə malikdir. Misal üçün, təhlükə aşkarlanarsa, müəyyən edilmiş qaydalar əsasında avtomatik olaraq sistemdə müəyyən tədbirlər görülə bilər (məsələn, zərərverici fəaliyyət aşkar edildikdə bu fəaliyyət dayandırıla bilər).
Wazuh-un bu əsas komponentləri və funksiyaları müasir kibertəhlükəsizlik tələblərini qarşılamaq üçün onu güclü bir platforma edir.
Wazuh, güclü təhlükəsizlik xüsusiyyətlərinə malik açıq mənbəli bir platformadır və təhlükəsizlik məlumatlarının idarə edilməsi, hadisələrin aşkarlanması və cavab tədbirləri kimi funksiyalarla təşkilatları kibertəhdidlərdən qorumağa kömək edir. Onun əsas təhlükəsizlik xüsusiyyətləri bunlardır:
1. Real Vaxtda Hadisə Monitorinqi
Wazuh, agentlər vasitəsilə sistemlərdən və şəbəkələrdən toplanan məlumatları real vaxtda izləyir. Bu, müxtəlif təhlükəsizlik hadisələrini aşkar etməyə imkan verir:
- Zərərli fəaliyyətlər (məsələn, şəbəkə skanları, qeyri-adi istifadəçi hərəkətləri).
- Zərərverici proqramlar və hücumlar.
- Fayl və sistem dəyişiklikləri.
2. Fayl tamlıqının Monitorinqi
Wazuh fayl və qovluqlarda baş verən dəyişiklikləri izləyir və xəbərdarlıqlar yaradır. Hər hansı bir icazəsiz və ya gözlənilməz fayl dəyişiklikləri aşkar edildikdə, bu dəyişikliklər təhlil edilir və təhlükə olduğu halda dərhal xəbər verilir. Bu xüsusiyyət, zərərverici proqramların və zərərli kodların aşkarlanmasında kritik əhəmiyyətə malikdir.
3. Zəifliklərin idarə edilməsi
Wazuh, əməliyyat sistemləri, tətbiqlər və şəbəkələrdəki zəiflikləri aşkar edir və bunların aradan qaldırılması üçün tədbirlər təklif edir. Sistemlərdəki bilinen zəifliklər barədə müntəzəm yoxlamalar aparılır və təyin olunmuş təhlükəsizlik boşluqları ilə bağlı xəbərdarlıqlar verilir.
4. Uyğunluq auditi
Təşkilatlar müvafiq sənaye standartlarına və hüquqi tələblərə uyğun olmaq üçün Wazuh-dan istifadə edə bilərlər. Uyumluluq auditi, təşkilatların PCI DSS, HIPAA, GDPR kimi tələblərə uyğun olub-olmadığını yoxlamaq üçün məlumat toplama və analiz etmə qabiliyyətinə malikdir.
5. Kiber Hücumların Aşkarlanması
Wazuh, şəbəkələrdə və sistemlərdə olan müxtəlif növ kiberhücumları və zərərli fəaliyyətləri aşkar etmək üçün qabaqcıl analiz üsullarından istifadə edir. Bu hücumlar arasında aşağıdakılar yer alır:
- Denial of Service (DoS) hücumları.
- Giriş məlumatlarının oğurlanması və icazəsiz girişlər.
- Şəbəkə hücumları və təhlükəsizliyə yönəlmiş təhdidlər.
6. Avtomatlaşdırılmış Cavab
Wazuh hadisələrə cavab tədbirləri avtomatlaşdırılmış şəkildə həyata keçirə bilər. Məsələn, təhlükəli fəaliyyət aşkar edildikdə, sistem dərhal reaksiya verir və avtomatik olaraq həmin fəaliyyətin qarşısını alır. Avtomatik cavab funksiyası təhdidləri sürətlə aradan qaldırmağa kömək edir.
7. Güclü Təhlükəsizlik Analitikası
Wazuh, təhlükəsizlik hadisələrini təhlil edərək müxtəlif hücum növlərini və riskləri aşkar edir. Bu analiz nəticəsində əldə edilən məlumatlar təhlükəsizlik qruplarına potensial risklərə qarşı tədbirlər görmək üçün lazımi resurslar təqdim edir.
8. Loq Analizi və Korelyasiya
Wazuh müxtəlif mənbələrdən (serverlər, tətbiqlər, şəbəkə qurğuları və s.) loqları toplayaraq təhlil edir. Hadisələr arasındakı əlaqələri təyin edir və bu korelyasiya nəticəsində mürəkkəb təhdidləri aşkarlayır. Bunun sayəsində bir neçə kiçik hadisənin birləşməsindən qaynaqlanan daha böyük təhlükələr müəyyən edilə bilir.
9. Şəbəkə təhlükəsizlik monitorinqi
Wazuh, şəbəkə trafiki üzərində təhlillər apararaq şübhəli fəaliyyətləri, icazəsiz giriş cəhdlərini və ya şəbəkə skanlarını aşkar edir. Bu xüsusiyyət, şəbəkəyə qarşı yönəldilən hücumları erkən mərhələdə aşkar etməyə kömək edir.
10. Məlumat şifrələnməsi və İnteqrasiya təhlükəsizliyi
Wazuh məlumatların toplandığı mənbədən serverə və ya mərkəzi idarəetmə nöqtəsinə göndərilməsi zamanı güclü şifrələmə texnologiyalarından istifadə edir. Bu, məlumatların ötürülmə zamanı müdaxiləyə məruz qalmasını əngəlləyir və təhlükəsizliyi təmin edir.
11. İstifadəçi davranışı monitorinqi
Wazuh istifadəçi davranışlarını izləyərək normal olmayan fəaliyyətləri aşkar edir. Məsələn, istifadəçinin giriş davranışlarında anormallıqlar olduqda, dərhal xəbərdarlıq yaradır və şübhəli fəaliyyətləri təhlil edir.
Bu təhlükəsizlik xüsusiyyətləri, Wazuh-u kibertəhlükəsizlik üçün effektiv bir platforma edir, təşkilatların təhlükəsizlik infrastrukturunu gücləndirir və mürəkkəb təhdidlərlə mübarizə aparmağa imkan verir.
Wazuh-un düzgün quraşdırılması və işləması üçün sistem tələblərinə diqqət yetirmək vacibdir. Aşağıda Wazuh serveri, agentləri və ELK Stack (Elasticsearch, Logstash, Kibana) üçün tələb olunan sistem tələbləri verilmişdir:
Wazuh Serveri Tələbləri
1. İşlədiyi Əməliyyat Sistemi
- Ubuntu: 18.04, 20.04, 22.04
- CentOS: 7, 8
- Debian: 9, 10, 11
- RHEL: 7, 8
2. Proses və Yaddaş
- CPU: Minimum 2 nüvəli prosessor (4 və ya daha çox nüvəli tövsiyə olunur).
- RAM: Minimum 4 GB RAM (8 GB və ya daha çox tövsiyə olunur).
- Disk Yaddaşı: Minimum 20 GB sərbəst disk sahəsi (daha çox məlumat üçün daha çox yer).
3. Şəbəkə Tələbləri
- Wazuh serverinin agentləri ilə ünsiyyət üçün açıq portlar:
- 1514 (UDP) – Agentlərdən hadisə loqları üçün
- 55000 (TCP) – Agentlərdən Wazuh serverinə əlaqə
4. Digər Tələblər
- Java: Elasticsearch üçün Java tələbi ola bilər (minimum Java 11).
- Python: Python 3.x versiyası.
- Güclü internet bağlantısı: Yeniləmələr və əlavə paketlər üçün.
Wazuh Agentləri Tələbləri
1. İşlədiyi Əməliyyat Sistemi
- Eyni zamanda Wazuh serveri ilə uyumlu olan əməliyyat sistemləri:
- Ubuntu: 18.04, 20.04, 22.04
- CentOS: 7, 8
- Debian: 9, 10, 11
- RHEL: 7, 8
- Windows: Windows Server 2016, 2019, 2022 və Windows 10
2. RAM
- CPU: Minimum 1 nüvəli prosessor (2 nüvəli tövsiyə olunur).
- RAM: Minimum 1 GB RAM (2 GB və ya daha çox tövsiyə olunur).
- Disk Yaddaşı: Minimum 10 GB sərbəst disk sahəsi.
3. Şəbəkə Tələbləri
- Wazuh agentləri, Wazuh serverinə bağlantı üçün açıq portlar:
- 1515 (TCP) – Wazuh agenti ilə server arasında əlaqə
- 55000 (TCP) – Agentdən Wazuh serverinə bağlantı
ELK Stack (Elasticsearch, Logstash, Kibana) Tələbləri
1. Elasticsearch
- CPU: Minimum 2 nüvəli prosessor (4 nüvəli tövsiyə olunur).
- RAM: Minimum 4 GB RAM (8 GB və ya daha çox tövsiyə olunur).
- Disk Yaddaşı: Minimum 20 GB sərbəst disk sahəsi (daha çox verilənlər üçün daha çox yer).
2. Logstash
- CPU: Minimum 1 nüvəli prosessor.
- RAM: Minimum 1 GB RAM (2 GB və ya daha çox tövsiyə olunur).
- Disk Yaddaşı: Minimum 10 GB sərbəst disk sahəsi.
3. Kibana
- CPU: Minimum 1 nüvəli prosessor.
- RAM: Minimum 1 GB RAM (2 GB və ya daha çox tövsiyə olunur).
- Disk Yaddaşı: Minimum 10 GB sərbəst disk sahəsi.
Ümumi tələblər
- Yerli istifadəçi hesabı: Quraşdırma və konfiqurasiya üçün.
- Firewall ayarları: Wazuh və agentlər arasında düzgün ünsiyyətin təmin edilməsi üçün müvafiq portların açılması.
Wazuh-un tələb olunan sistem tələbləri, quraşdırma və iş prinsiplərinə əsaslanaraq dəyişə bilər. Mümkün olan ən yaxşı performansı əldə etmək üçün resursların lazımi səviyyədə olmasına diqqət yetirin.
Wazuh-un real vaxtda monitorinq funksiyası, təhlükəsizlik hadisələrinin aşkar edilməsi, izlenmesi və cavab tədbirlərinin sürətlə həyata keçirilməsi üçün vacib bir xüsusiyyətdir. Bu proses, Wazuh agentləri vasitəsilə toplanan məlumatların mərkəzi Wazuh serverində analiz edilməsi və müvafiq tədbirlərin görülməsi əsasında həyata keçirilir. Aşağıda Wazuh-un real vaxtda monitorinq prosesinin ətraflı təsviri verilmişdir:
1. Agentlərin quraşdırılması
- Wazuh agentləri, monitorinq ediləcək sistemlərə (serverlər, iş stansiyaları, şəbəkə qurğuları) quraşdırılır. Bu agentlər, təhlükəsizlik hadisələri və loqları toplayaraq Wazuh serverinə göndərirlər.
- Agentlər, sistemdəki fəaliyyətləri (istifadəçi girişləri, fayl dəyişiklikləri, sistem mesajları və s.) izləyir.
2. Məlumatların toplanması
- Agentlər, toplanan məlumatları real vaxtda Wazuh serverinə göndərirlər. Bu, loq fayllarının analizi, sistem hadisələrinin monitorinqi və dəyişikliklərin aşkar edilməsi üçün edilir.
- Toplanan məlumatlar arasında sistem hadisələri, şəbəkə trafiği, fayl bütövlüyü monitorinqi və daha çoxu ola bilər.
3. Hadisələrin Analizi
- Wazuh serveri, toplanan məlumatları analiz edərək potensial təhlükəsizlik hadisələrini müəyyən edir. Bu analiz, aşağıdakı metodlardan istifadə edərək aparılır:
- Qayda əsaslı: Wazuh-un quraşdırılmış qaydaları vasitəsilə hadisələr qiymətləndirilir və şübhəli fəaliyyətlər aşkar edilir.
- Statistik analiz: Anormal davranışları aşkar etmək üçün statistik metodlar tətbiq olunur.
4. Xəbərdarlıqların Təşkili
- Potensial təhlükələr aşkar edildikdə, Wazuh real vaxtda xəbərdarlıqlar yaradır. Bu xəbərdarlıqlar, sistem administratorlarına və təhlükəsizlik qruplarına hadisə barədə məlumat verir.
- Xəbərdarlıqlar, e-poçt, SMS, və ya digər bildiriş sistemləri vasitəsilə göndərilə bilər.
5. Hadisələrin İzlənməsi və Təhlili
- Wazuh, hadisələri izləyir və hər hansı bir şübhəli fəaliyyətin tarixçəsini saxlayır. Bu, təhlükəsizlik qruplarına hadisələri daha dərindən analiz etmək imkanı tanıyır.
- Təhlil nəticəsində əldə edilən məlumatlar, gələcəkdəki hücumların və zəifliklərin aradan qaldırılması üçün vacibdir.
6. reaksiya
- Xəbərdarlıqlara əsaslanaraq, Wazuh hadisələrə avtomatik cavab verə bilər. Məsələn, müəyyən bir şübhəli fəaliyyət aşkar edildikdə, sistem dərhal həmin fəaliyyəti bloklaya bilər.
- Reaksiya tədbirləri, sistem administratorlarına müvafiq tədbirlər görmək üçün zəmin yaradır.
7. Vizuallaşdırma
- Wazuh, Kibana ilə inteqrasiya olunaraq topladığı məlumatları vizuallaşdırır. Bu, təhlükəsizlik qruplarının hadisələri daha asan analiz etməsinə kömək edir.
- Vizuallaşdırma vasitəsilə məlumatlar cədvəllər, qrafiklər və xəritələr şəklində təqdim edilir.
8. Tarixçənin Saxlanması
- Wazuh, toplanan məlumatların tarixçəsini saxlayır. Bu, daha sonrakı analizlər üçün vacibdir və mümkün olan hücumların təhlilində kömək edir.
Nəticə olaraq
Wazuh-un real vaxtda monitorinq funksiyası, təşkilatların kibertəhlükəsizlik vəziyyətini gücləndirmək üçün kritik rol oynayır. Bu, təhdidlərin erkən aşkar edilməsinə, müdaxilələrin qarşısının alınmasına və təhlükəsizlik tədbirlərinin effektivliyinin artırılmasına kömək edir.
Wazuh-un şəbəkə təhlükəsizliyini artırmaq və zərərli fəaliyyətlərə qarşı mübarizə aparmaq üçün bir sıra şərtləri vardır. Şəfa metodları, aşkar edilmiş təhlükələri aradan qaldırmaq və sistemin təhlükəsizliyini bərpa etmək üçün tətbiq edilən müxtəlif yanaşmalardır. Aşağıda Wazuh-un istifadə etdiyi bəzi əsas şəfa metodları verilmişdir:
1. Hadisələrin İdarə edilməsi
- Təhlükəsizlik hadisələrinin aşkar edilməsi: Wazuh, agentləri vasitəsilə toplanan məlumatları analiz edərək təhlükəsizlik hadisələrini real vaxtda aşkar edir.
- İzləmə və məlumatların saxlanması: Aşkar edilmiş hadisələr, təhlil və gələcək üçün araşdırma məqsədilə saxlanılır.
2. Xəbərdarlıq sistemi
- Xəbərdarlıqların yaradılması: Potensial təhlükələr aşkar edildikdə, Wazuh avtomatik olaraq xəbərdarlıqlar yaradır. Bu, sistem administratorlarına və təhlükəsizlik qruplarına dərhal məlumat verir.
- Xəbərdarlıq yolları: E-poçt, SMS və ya digər bildiriş sistemləri vasitəsilə xəbardarlıq göndərilir.
3. Avtomatik cavablandırlmanın aparılması
- Avtomatik müdaxilə: Wazuh, aşkar edilmiş təhlükələrə qarşı avtomatik tədbirlər görərək, zərərli fəaliyyətlərin qarşısını alır.
- Müxtəlif cavab tədbirləri: Məsələn, şübhəli IP ünvanlarını bloklamaq, sistemdəki faylları mühafizə etmək və ya xidmətləri dayandırmaq.
4. Müxtəlif araşdırmalar
- Hadisələrin araşdırılması: Aşkar edilmiş təhlükələrə dair dərindən araşdırmalar aparılır. Bu, zərərli fəaliyyətlərin kök səbəblərini müəyyən etməyə kömək edir.
- Məlumatların analiz edilməsi: Hadisələr və loqlar təhlil edilərək, təhlükəsizlik zəiflikləri və mümkün müdaxilələr müəyyən edilir.
5. Təhlükəsizlik tətbiqetmələri
- Zərərli proqram təminatının aradan qaldırılması: Wazuh, zərərli proqramların aşkar edilməsi və aradan qaldırılması üçün müvafiq təhlükəsizlik alətləri ilə inteqrasiya edilir.
- Firewall və İDPS tətbiqləri: Wazuh, Firewall və İDPS (İntrusion Detection and Prevention Systems) ilə birləşdirilərək daha güclü təhlükəsizlik tədbirləri tətbiq edir.
6. Məlumatların bərpası
- Bərpa planlarının yaradılması: Müxtəlif şərtlərdə (məsələn, məlumat itkisi) sistemin bərpası üçün müvafiq planlar yaradılır.
- Sistem bərpası: Zərərli fəaliyyətdən sonra sistemin bərpası üçün ehtiyat nüsxələrindən istifadə edilir.
7. Təhlükəsizlik təhlilləri aparılması
- Müntəzəm təhlükəsizlik analizləri: Wazuh, təhlükəsizlik vəziyyətini müntəzəm olaraq təhlil edir və inkişaf etdirir.
- Vulnerability assessment: Təşkilatın təhlükəsizlik zəifliklərini aşkar etmək üçün müxtəlif testlər və skanerlər tətbiq olunur.
8. Təlim cəlb olunma
- İşçilərin təlimi: Təşkilatın təhlükəsizlik mədəniyyətini artırmaq üçün işçilərin təlimləri həyata keçirilir.
- Məlumatlandırma: Təşkilatın təhlükəsizlik prosedurlarına dair məlumatlandırma aparılır.
Nəticə olaraq
Wazuh-un şəfa metodları, təşkilatların təhlükəsizlik vəziyyətini gücləndirmək, aşkar edilmiş təhlükələri aradan qaldırmaq və sistemlərin təhlükəsizliyini bərpa etmək üçün mühüm bir yoldur. Bu metodlar, müasir kibertəhlükəsizlik mühitində daha güclü müdafiə strategiyalarını inkişaf etdirməyə kömək edir.
