HIDS - Choisir entre une fourche OSSEC ou Wazuh ordinaire
J'ai l'intention de configurer OSSEC et j'ai remarqué qu'il semble y avoir deux versions principales: plain [~ # ~] ossec [~ # ~] et Fourche Wazuh .
D'après ce que j'ai pu rassembler (à partir de Wazuh site Web et documentation ), les principaux avantages de Wazuh sont:
- sa capacité à s'intégrer à ELK
- un ensemble de règles amélioré
- aPI reposante
Je n'ai aucun intérêt à utiliser ELK pour ce projet, mais nous avons déjà une instance de graylog préexistante que j'aimerais connecter avec OSSEC, ce qui devrait être possible dans OSSEC normal en utilisant le format ceys syslog.
Je suppose que je peux utiliser l'ensemble de règles amélioré même si j'exécute OSSEC normal, au moins je n'ai rien vu qui indique le contraire.
Quant à l'API reposante, je suis encore très inexpérimenté et je n'ai entendu parler que récemment de REST - je ne sais même pas comment je commencerais à l'utiliser - donc je suis Je ne sais pas si je devrais utiliser la fourche Wazuh juste pour ça.
L'objectif est d'exécuter des agents OSSEC sur les machines de notre environnement cloud et de les diriger vers un serveur OSSEC sur une machine déjà utilisée pour la gestion et la surveillance des journaux sur le même réseau.
Existe-t-il d'autres avantages à exécuter Wazuh au lieu de l'OSSEC normal? Y a-t-il autre chose que je devrais prendre en considération?
Concernant les différences de Wazuh avec OSSEC, l'équipe de Wazuh travaille sur la mise à jour de la documentation pour mieux les expliquer (et sur une nouvelle version et des installateurs).
Les nouveautés de la nouvelle version de Wazuh (2.0, actuellement sous la branche principale) sont:
- OpenSCAP intégré dans le cadre de l'agent, permettant aux utilisateurs d'exécuter des vérifications OVAL.
- Nouveau WUI au-dessus de Kibana 5 et intégré à l'API RESTful pour surveiller la configuration du gestionnaire, les règles et le statut des agents.
- Amélioration de l'analyse des journaux et des capacités FIM.
- Ensemble de règles avec mappage de conformité.
- Communications agent-gestionnaire sur TCP pris en charge. Un gestionnaire de modules qui permettra l'intégration future d'autres outils (dans la feuille de route se trouvent les sources OSquery et Threat Intelligence)
Le changelog complet peut être trouvé ici:
https://github.com/wazuh/wazuh/blob/master/CHANGELOG.md
Si vous êtes curieux, voici quelques captures d'écran du WUI.
https://github.com/wazuh/wazuh-documentation/tree/2.0/source/images/screenshots
Il convient également de mentionner que le projet Wazuh, en tant que fork, est basé sur le travail effectué par les développeurs et contributeurs OSSEC dont nous sommes reconnaissants. Wazuh prévoit de continuer à contribuer au référentiel OSSEC Github avec des corrections de bugs, mais nous avons également notre propre feuille de route, donc, très probablement, les deux projets évolueront de différentes manières.
Bien que mon opinion soit probablement biaisée ici (je fais partie de l'équipe Wazuh), voici une mise à jour sur les différences entre OSSEC et Wazuh:
Scalability and reliability
• Cluster support for managers to scale horizontally.
• Support for Puppet, Chef, Ansible and Docker deployments.
• TCP support for agent-manager communications.
• Anti-flooding feature to prevent large burst of events from being lost or negatively impact network performance.
• AES encryption used for agent-manager communications (instead of Blowfish).
• Multi-thread support for manager processes, dramatically increaing their performance.
Intrusion detection
• Improved log analysis engine, with native JSON decoding and ability to name fields dynamically.
• Increased maximum message size from 6KB to 64KB (being able to analyze much larger log messages).
• Updated ruleset with new log analysis rules and decoders.
• Native rules for Suricata, making use of JSON decoder.
• Integration with Owhl project for unified NIDS management.
• Support for IP reputation databases (e.g. AlienVault OTX).
• Native integration with Linux auditing kernel subsystem and Windows audit policies to capture who-data for FIM events.
Integration with cloud providers
• Module for native integration with Amazon AWS (pulling data from Cloudtrail or Cloudwatch).
• New rules and decoders for Amazon AWS.
• Module for native integration with Microsoft Azure.
• New rules and decoders for Microsoft Azure.
Regulatory compliance
• Alert mapping with PCI DSS and GPG13 requirements.
• Compliance dashboards for Elastic Stack, provided by Wazuh Kibana plugin.
• Compliance dashboards for Splunk, provided by Wazuh app.
• Use of Owhl project Suricata mapping for compliance.
• SHA256 hashes used for file integrity monitoring (in addition to to MD5 and SHA1).
• Module for integration with OpenScap, used for configuration assessment.
Elastic Stack integration
• Provides the ability to index and query data.
• Data enrichment using GeoIP Logstash module.
• Kibana plugin used to visualize data (integrated using Wazuh REStful API).
• Web user interface pre-configured extensions, adapting it to your use cases.
Incident response
• Module for collection of software and hardware inventory data.
• Ability to query for software and hardware via RESTful API.
• Module for integration with Osquery, being able to run queries on demand.
• Implementation of new output options for log collector component.
• Module for integration with Virustotal, used to detect the presence of malicious files.
Vulnerability detection and configuration assessment
• Dynamic creation of CVE vulnerability databases, gathering data from OVAL repositories.
• Cross correlation with applications inventory data to detect vulnerable software.
• Module for integration with OpenScap allows the user to remotely configured scans.
• Support for CIS-CAT, by Center of Internet Security scanner integration.
Lien vers la documentation:
https://documentation.wazuh.com/current/migrating-from-ossec/
Cela montre qu'il y a certainement beaucoup de travail que nous avons fait au-dessus d'OSSEC au cours des trois dernières années qui, je crois, justifie l'utilisation de Wazuh à la place.