企業のITインフラを保護するには、不正アクセス等のサイバー攻撃を未然に防ぎ、万が一インシデントが発生した場合は迅速に検知して対応する統合的な仕組みが必要となる。The Hacker Newsは4月10日、「Protecting your business with Wazuh: The open source security platform」において、そのような企業のセキュリティ対策をサポートするツールとして、オープンソースのセキュリティ監視プラットフォーム「Wazuh」を紹介した。
Wazuhの主要な構成要素としては、監視対象のエンドポイントにインストールして情報収集を行う「Wazuhエージェント」と、次の3つの中央コンポーネントがある。
- Wazuh サーバ: エージェントから受信したデータを分析し、驚異インテリジェンスを用いてセキュリティ侵害の検出などを行う
- Wazuh インデクサー: スケーラブルな全文検索および分析エンジンで、Wazuh サーバによって生成されたアラートにインデックスを付けて保存する
- Wazuh ダッシュボード: データの視覚化と分析のためのWebユーザーインタフェース
Wazuh エージェントはPCやサーバ、クラウドインスタンス、仮想マシンなどさまざまなタイプのエンドポイントにインストールすることが可能であり、Linux、Windows、macOS、Solaris、AIX、HP-UXといった複数のOSをサポートしている。さらにWazuhでは、エージェントベースの監視機能に加えて、ファイアウォールやルータ、ネットワークIDSなどといったエージェントレスのデバイスも監視することができる。
-
Wazuhの主要なコンポーネントとデータフロー 引用:Wazuh.com
Wazuhで提供されている主な機能としては、以下が挙げられている。
- 脅威検出ルールを備えたMITRE ATT&CKモジュールをベースとして驚異インテリジェンスにより、環境内の脅威または侵害されたエンドポイントを特定する
- VirusTotal、MISP、URLHaus、YARAなどのサードパーティの脅威インテリジェンスソリューションともシームレスに統合可能
- Vulnerability Detectorモジュールによって、脆弱性に関するリアルタイムの情報を提供する
- Wazuh File Integrity Monitoringモジュールによって、ディレクトリに対するファイルの追加・削除・変更を監視する
- rootcheckモジュールによって、隠しファイルやポート、異常なプロセスなどを監視する
- Wazuh active responseモジュールによって、感染したシステムの隔離や、ネットワークトラフィックのブロック、ランサムウェアプロセスの終了などの自動応答アクションを実施する
- システム設定ポリシー監査によって、サーバ設定が企業のセキュリティポリシーやコンプライアンスに沿っているかどうかを監査する
Wazuhはオープンソースで開発されており、無料で導入できることに加えて、有償サポートやクラウドサービスも提供されており、大小さまざまな規模での導入に対応している。
