Giới Thiệu

Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp, việc giám sát bảo mật trong các hệ thống doanh nghiệp là một nhiệm vụ không hề đơn giản. Các doanh nghiệp cần một giải pháp hiệu quả và tiết kiệm để bảo vệ hệ thống khỏi các mối đe dọa. Nhiều công cụ hiện có như IBM Qradar, Splunk và Rapid7 MSS đều rất mạnh mẽ nhưng giá thành cao, khiến các doanh nghiệp vừa và nhỏ gặp khó khăn trong việc tiếp cận. Wazuh ra đời như một lựa chọn thay thế lý tưởng, với các tiêu chí: Tốt - Miễn phí và Dễ sử dụng. Hãy cùng khám phá công cụ này trong bài viết dưới đây!

1. Wazuh Là Gì?

Wazuh là một nền tảng bảo mật mã nguồn mở miễn phí, tích hợp các công cụ XDR và SIEM. Nền tảng này có khả năng bảo vệ hệ thống trên nhiều môi trường khác nhau, bao gồm local, ảo hóa, container và cloud. Wazuh cung cấp các tính năng cần thiết để phát hiện những mối đe dọa phổ biến như tấn công từ chối dịch vụ (DoS), quét lỗ hổng và tấn công tràn bộ đệm (buffer overflow).

Ưu Điểm của Wazuh:

• Miễn phí và hỗ trợ đa nền tảng (Windows, Linux, MacOS).
• Dễ dàng cài đặt và linh hoạt, có thể quản lý hiệu quả cho hệ thống lớn (> 2000 người dùng).
• Giám sát phần mềm cài đặt trên máy người dùng.
• Tuân thủ các tiêu chuẩn bảo mật hiện đại như GDPR, PCI-DSS...
• Tích hợp với VirusTotal API để kiểm tra mã độc liên tục.
• Theo dõi log của các phần mềm quan trọng và kiểm tra tính toàn vẹn hệ thống.
• Khả năng tích hợp với các hệ thống thông báo như Email, Slack, Discord.

2. Hướng Dẫn Cài Đặt Wazuh

Khác với các SIEM khác, Wazuh nổi bật với quy trình cài đặt đơn giản. Để cài đặt, bạn chỉ cần chạy các lệnh sau:

sudo apt-get update;
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

Sau khi cài đặt thành công, bạn sẽ nhận được thông tin đăng nhập (Username và Password). Đừng quên thay đổi mật khẩu ngay sau lần đăng nhập đầu tiên bằng lệnh sau:

curl -so wazuh-passwords-tool.sh https://packages.wazuh.com/4.8/wazuh-passwords-tool.sh
bash wazuh-passwords-tool.sh -u admin -p Secr3tP4ssw*rd (user/password mới)

Để tăng cường bảo mật cho Wazuh Dashboard, bạn có thể cài đặt SSL Let's Encrypt như sau:

Bước 1 - Cài Đặt Certbot

sudo apt-get install software-properties-common apt-transport-https ca-certificates -y
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update -y
sudo apt-get install certbot python3-certbot-apache -y

Bước 2 - Yêu Cầu SSL Key

Trước khi yêu cầu SSL Key, bạn cần thay đổi cổng trong tệp cấu hình Wazuh Dashboard để tránh xung đột:

• Mở tệp cấu hình tại đường dẫn /etc/wazuh-dashboard/opensearchdashboards.yml và thay đổi giá trị server.port thành 4433.
• Khởi động lại Wazuh Dashboard:

sudo systemctl restart wazuh-dashboard

Bước 3 - Cấu Hình SSL Cho Wazuh Dashboard

sudo cp -r /etc/letsencrypt/live/redlab.cloud  /etc/wazuh-dashboard/certs

• Cập nhật cấu hình trong tệp /etc/wazuh-dashboard/opensearchdashboards.yml:

server.ssl.key: "/etc/wazuh-dashboard/certs/privkey.pem"
server.ssl.certificate: "/etc/wazuh-dashboard/certs/fullchain.pem"

Bước 4 - Khởi Động Lại Wazuh Dashboard

sudo systemctl restart wazuh-dashboard

3. Các Thành Phần Trong Wazuh

Wazuh được xây dựng trên những thành phần chính sau:

• Wazuh Indexer: Công cụ tìm kiếm và phân tích, nơi lưu trữ và hiển thị cảnh báo.
• Wazuh Server: Xử lý hàng trăm hoặc hàng nghìn dữ liệu từ các Agent.
• Wazuh Dashboard: Giao diện trực quan để tương tác dữ liệu.
• Wazuh Agents: Cài đặt trên các endpoint để thu thập thông tin và phát hiện mối đe dọa.

Wazuh hoạt động qua các cổng mặc định và cung cấp khả năng giám sát không chỉ với các Agent mà còn với các thiết bị như Firewall, Routers, và IDS/IPS.

4. Cấu Hình Wazuh Agent

Để cấu hình Wazuh Agent, bạn cần thực hiện các bước sau:

Bước 1

Truy cập Wazuh Dashboard > Total Agent > Deploy new agent.

Bước 2

Chọn môi trường mà Agent sẽ cài đặt và nhập thông tin cần thiết như địa chỉ IP hoặc tên miền của Wazuh server.

Bước 3

Nhận lệnh cài đặt cho máy chủ:

wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.5-1_amd64.deb && sudo WAZUH_MANAGER='redlab.cloud' WAZUH_AGENT_NAME='linux_agent' dpkg -i ./wazuh-agent_4.7.5-1_amd64.deb
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Bước 4

Thực thi lệnh cài đặt với quyền root trên máy chủ cần theo dõi.

5. Chức Năng Của Wazuh

Sau khi cấu hình Agent thành công, Wazuh sẽ kích hoạt nhiều tính năng hữu ích:

• Quản lý thông tin an ninh: Hiển thị các sự kiện hệ thống cần giám sát.
• Giám sát tính toàn vẹn: Theo dõi sự thay đổi của các file cấu hình quan trọng.
• Đánh giá cấu hình bảo mật: Phát hiện điểm yếu qua đánh giá cấu hình theo các tiêu chuẩn bảo mật.
• Phát hiện và ứng phó với mối đe dọa: Tìm kiếm lỗ hổng bảo mật dựa trên MITRE ATT&CK Framework và chuẩn xác nhận.
• Tuân thủ quy định: Kiểm tra khả năng đáp ứng với các tiêu chuẩn bảo mật như PCI-DSS, GDPR, HIPAA.

6. Kiểm Thử Khả Năng Phát Hiện Của Wazuh

Trường Hợp 1

Sử dụng nikto để quét máy chủ:

nikto -H ip_scan -Turning 1

Hệ thống sẽ nhận diện và cảnh báo cuộc tấn công.

Trường Hợp 2

Thay đổi thông tin trong file /etc/shadow trên máy chủ:
Hệ thống sẽ cảnh báo về sự thay đổi bất thường.

Trường Hợp 3

Phân quyền không an toàn cho các file cấu hình:

chmod 777 /etc/crontab
chmod 777 /etc/cron.d

Hệ thống sẽ cảnh báo về việc cấu hình không an toàn.

7. Kết Luận

Bài viết đã giới thiệu những khía cạnh cơ bản về Wazuh. Ở phần 2, chúng ta sẽ tiếp tục tìm hiểu khả năng giám sát của công cụ này trong các môi trường đặc thù như Cloud, Docker, Firewall, và Router. Hẹn gặp lại mọi người trong các bài viết tiếp theo! 😊
source: viblo