Wazuh to darmowa platforma open-source SIEM/XDR do monitorowania bezpieczeństwa, wykrywania zagrożeń i reagowania na incydenty. Podczas gdy Suricata obserwuje ruch sieciowy, Wazuh monitoruje to, co dzieje się na samych hostach — zmiany plików, anomalie w logach, podatności i podejrzaną aktywność procesów.

Jak działa Wazuh?

System składa się z dwóch głównych elementów:

  1. Wazuh Agent: Mały program instalowany na monitorowanych serwerach (Linux, Windows, macOS). Zbiera logi, monitoruje pliki i przesyła dane do centrali.
  2. Wazuh Server (Manager): Centralny mózg, który odbiera dane od agentów, analizuje je w oparciu o tysiące reguł i generuje alerty.

Dane są następnie wizualizowane w Wazuh Dashboard (opartym na OpenSearch/Kibana), co pozwala na łatwe przeglądanie incydentów.

Kluczowe funkcje dla administratora Linuxa

1. Monitorowanie integralności plików (FIM)

To jedna z najważniejszych funkcji. Wazuh tworzy sumy kontrolne (hash) ważnych plików systemowych (np. /etc/passwd, /bin/ls, konfiguracje Apache/Nginx). Jeśli haker lub złośliwy skrypt zmieni zawartość pliku, Wazuh natychmiast wygeneruje alert.

“Uwaga! Plik /etc/shadow został zmodyfikowany przez użytkownika www-data!”

2. Wykrywanie podatności (Vulnerability Detector)

Agent Wazuha skanuje zainstalowane pakiety i porównuje ich wersje z bazami CVE (Common Vulnerabilities and Exposures) dla Twojej dystrybucji (Debian, Ubuntu, RedHat). Dzięki temu wiesz, że np. Twoja wersja OpenSSL ma dziurę bezpieczeństwa i wymaga aktualizacji.

3. Analiza logów i detekcja intruzów

Wazuh analizuje logi systemowe (syslog, auth.log, logi aplikacji). Potrafi wykryć np.:

  • Wielokrotne nieudane próby logowania SSH (Brute Force).
  • Uruchomienie sudo przez nieautoryzowanego użytkownika.
  • Błędy w aplikacjach wskazujące na próbę ataku SQL Injection.

4. Aktywna reakcja (Active Response)

Wazuh nie tylko “patrzy”, ale może też “działać”. Możesz skonfigurować go tak, aby w odpowiedzi na konkretny alert (np. atak Brute Force) automatycznie zablokował adres IP atakującego w iptables lub firewalld na określony czas.

Integracja z Suricatą

Wazuh i Suricata to duet idealny. Agent Wazuha może czytać plik eve.json generowany przez Suricatę. Dzięki temu w jednym panelu (Wazuh Dashboard) widzisz zarówno alerty sieciowe (od Suricaty), jak i systemowe (od Agenta). To daje pełny obraz bezpieczeństwa Twojej infrastruktury.

Instalacja Agenta (szybki start)

Pełna instalacja serwera Wazuh jest złożona (często używa się do tego Dockera), ale instalacja Agenta na Twoim serwerze Linux jest banalna.

  1. Dodaj repozytorium GPG Wazuha.
  2. Zainstaluj pakiet wazuh-agent.
  3. Edytuj /var/ossec/etc/ossec.conf, podając adres IP swojego serwera Wazuh.
  4. Uruchom usługę: 
    sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

W połączeniu z Suricatą do detekcji na poziomie sieci, Wazuh zapewnia pełną widoczność bezpieczeństwa w całej infrastrukturze.