nils02
Goto Top

Wazuh - Open Source Security Platform ( SIEM )

Hallo zusammen,


ich bin im Internet bei der Suche nach SIEM-Lösungen auf Wazuh gestoßen.

Laut Website bietet Wazuh eigentlich alles oder sogar noch mehr als das, was andere Lösungen, kostenpflichtig und meist enorm teuer face-smile bieten.

Auf z. B. Reddit gibt es eine aktive Community, daher wollte ich mal bei euch nachfragen, ob jemand von euch Wazuh nutzt oder Erfahrung damit hat.

Ich freue mich auf euren Input face-smile


Danke und LG

Nils

Content-ID: 2184020246

Url: https://administrator.de/contentid/2184020246

Ausgedruckt am: 19.12.2024 um 08:12 Uhr

pleibling
Lösung pleibling 13.06.2022 um 09:48:08 Uhr
Goto Top
Guten Morgen Nils,

ich spiele die letzten 2 Wochen ein wenig mit Wazuh herum. Ist schon genial:

  • SIEM
  • Vulnaribility Scanner (CVE Warnungen, jedoch "nur" durch Scan nach Software - nicht durch Prüfung wie z.B. bei Greenbone - OpenVAS)
  • Überwachung von Clouddiensten (nutze O365 - kann jedoch auch AWS und Google)
  • Compliance Check usw.
OnPremise nutzung
  • Voller Funktionsumfang auch bei der OpenSource Version (die anderen haben meistens bei OpenSource/Community Version einen abgespeckten Funktionsumfang)

Leider ist dies jedoch sehr Umfangreich und benötigt ein große Einarbeitung - was jedoch auch in der Natur der Sache liegt (z.B. eigene Rulessets- und Warning anpassen). Aber wenn das dann mal läuft ist das Mega genial.

Ich habe mal die Installation und Konfiguration Dokumentiert (da diese für mich selber ist, nur sehr knapp - ist halt nur für mein IT Brain, ist jedoch öffentlich erreichbar): www.leibling.de/erstellen-eines-security-operation-center-mit-open-source-mitteln/

Hier mal ein paar Bilder:

1

2

3

4

Habe mal Testweise Software installiert (alte Adobe Version) um CVE Warnungen zu provozieren.

Ist jedoch noch eine Menge zu tun ;).
Nils02
Lösung Nils02 13.06.2022 um 11:20:21 Uhr
Goto Top
Zitat von @pleibling:

Guten Morgen Nils,

ich spiele die letzten 2 Wochen ein wenig mit Wazuh herum. Ist schon genial:

  • SIEM
  • Vulnaribility Scanner (CVE Warnungen, jedoch "nur" durch Scan nach Software - nicht durch Prüfung wie z.B. bei Greenbone - OpenVAS)
  • Überwachung von Clouddiensten (nutze O365 - kann jedoch auch AWS und Google)
  • Compliance Check usw.
OnPremise nutzung
  • Voller Funktionsumfang auch bei der OpenSource Version (die anderen haben meistens bei OpenSource/Community Version einen abgespeckten Funktionsumfang)

Leider ist dies jedoch sehr Umfangreich und benötigt ein große Einarbeitung - was jedoch auch in der Natur der Sache liegt (z.B. eigene Rulessets- und Warning anpassen). Aber wenn das dann mal läuft ist das Mega genial.

Ich habe mal die Installation und Konfiguration Dokumentiert (da diese für mich selber ist, nur sehr knapp - ist halt nur für mein IT Brain, ist jedoch öffentlich erreichbar): www.leibling.de/erstellen-eines-security-operation-center-mit-open-source-mitteln/

Hier mal ein paar Bilder:

1

2

3

4

Habe mal Testweise Software installiert (alte Adobe Version) um CVE Warnungen zu provozieren.

Ist jedoch noch eine Menge zu tun ;).

Wow, vielen Dank für dein ausführliches Feedback!
Das hat mir doch einen groben Einblick in die Weboberfläche gegeben.

Auch deine kleine Doku ist mega hilfreich.
Hoffe natürlich, dass diese noch erweitert wird ;)


Werde es auf jeden Fall mal Privat auf meinem ESXI testen.

Einen meiner Kollegen konnte ich schon überzeugen, dass wir es testen.
Leider fehlt aktuell mal wieder die Zeit face-smile

Was ebenfalls cool wäre, wenn du das ganze hier ins Forum verfrachtest als Tutorial.
Das würde mich und sicher auch den ein oder anderen sehr freuen.

Liebe Grüße
pleibling
Lösung pleibling 15.06.2022 um 13:59:20 Uhr
Goto Top
Danke für deine Antwort - ich bastel gerade weiter und werde nach und nach sicherlich noch erweitern (gerade das integrieren von Syslog externer Geräte wie FIrewall usw. war schon kniffelig).

Denke aber, das ich keinen Beitrag hier erstelle - höchtens einen Link auf meiner Seite, sonst müsste man die Inhalte nachher an mehreren Stellen immer wieder anpassen/erweitern ;).
pleibling
pleibling 26.06.2022 um 20:15:37 Uhr
Goto Top
Bin mal wieder einen Schritt weiter und dokumentiere gerade alles. Wie immer Online, so das dies auch als Referenz für andere dienen kann. Da ja oft die selben Systeme verwendet werden, sollte vieles übernommen werden können und auf andere Systeme übertragbar sein.

Mal sehen, vielleicht finde ich ja mal Zeit alles mit Videos zu dokumentieren - geht eigentlich recht einfach von der Hand, ist hat viel Fleißarbeit. Aber der Lohn dafür ist schon mega!

www.leibling.de/category/support/wazuh-support/
pleibling
pleibling 08.07.2022 um 16:37:49 Uhr
Goto Top
Falls es interessiert:

Und es geht noch besser, mit der Open Source Threat intelligence Sharing Plattform MISP erhält man viele Informationen, wie z.B.:

  • Mallicous Dateien/Hashes
  • Mallicous Befehle/Programme/Hashes
  • Mallicous Emailadressen
  • Mallicous URLs

Diese lassen sich mit Wazuh verbinden, so das man zeitnah IoCs bekommt und entsprechend reagieren kann.

Bis dies bei mir umgesetzt wird, wird sicherlich noch eine Weile dauern.

Hier aber mal ein Video www.youtube.com/watch?v=-qRMDxZpnWg - Interessant ab 16:20 Minuten face-smile.
pleibling
pleibling 18.10.2022 um 11:56:51 Uhr
Goto Top
Mittlerweile habe ich ein paar Videos - die vielleicht den einen oder anderen auf den Geschmack bringen:

Was ist ein SIEM:
www.youtube.com/watch?v=He8LXJvyCXc

Wazuh Installation Server, Agent und nachschärfen mit Sysmon:
www.youtube.com/watch?v=SRTW7nt4520&t=615s

Das gesamte SOC, welches ich umgesetzt habe arbeitet beispielsweise wie folgt:
  • Ein Windowsagent fängt sich etwas ein und ruft eine Schad URL auf.
  • Diese wird über Wazuh zu MISP weitergegeben zur Kontrolle.
  • MISP wird fündig und reportet an Wazuh.
  • Das sendet über die Integrations an Shuffle.
  • Shuffle extrahiert die Informationen und Oberservables, erstellt ein Ticket in The Hive und reichert diese Informationen an.
  • Anschließend werden im Cortex Analyzer gestartet, die die Observables untersuchen und direkt in die Ergebnisse in dem Fall speichern.

221014 now soc

Das Video dazu findet ihr hier:
www.youtube.com/watch?v=kwvXG--cCJE&t=453s

Die Konfigurationsdateien kommen noch in meinem Github Repository, weitere Videos werden noch auf Youtube folgen. Zielt ist es, das ihr mit den Videos und Konfigurationsdateien das System nachstellen könnt und in eurem Netz betreiben könnt.