我使用已久的 Wazuh 在過去是開源軟體界中著名的 EDR (端點偵測與回應) 解決方案,前陣子發現它已經進化,官網上的名詞從 EDR 變為 XDR (延伸偵測及回應) 解決方案,可以做到更多進階的資安應用效果。
本文整理實際應用的心得,提供參考。
整合 OPNsense
只要將 OPNsense 開源軟體防火牆的版本升級至 23.7.2 以上,即會多出了 Wazuh 的外掛程式,經過實際使用可以把 OPNsense 與 Wazuh 接起來。
也就是說,除了原本的端點資訊外,搭配防火牆的相關 Filter 與 IDS 能力,可以大幅加強 Wazuh 的偵測能力,甚至可以啟用 Wazuh 的 Active Response 功能,讓 Wazuh 回頭通知 OPNsense 將該阻擋的惡意 IP 加入封鎖。
在 OPNsense 上安裝好 Wazuh Agent 後,經由簡單的設定畫面即可啟用與 Wazuh 的相關整合,從頭到尾都不需要指令與手動修改設定檔,非常容易!
OPNsense 安裝 Wazuh Agent 外掛程式
進入 Wazuh 檢視 OPNsense 上的資安事件,可以看到經過 Suricata 偵測判讀的可疑事件自動呈現出來,圖中可以看到可疑的 IP 解析與 Tor 檢測行為。另外 Wazuh 還會依據 fiterlog 多筆記錄做檢測,判定是否多筆記錄是同一個來源的暴力攻擊事件。
Wazuh 檢視 OPNsense 網路事件
當 OPNsense 有啟用 OpenVPN 伺服器時,使用者的 VPN 登入行為也會在資安事件中呈現,便於管理者掌握 OpenVPN 員工使用狀況。
Wazuh 檢視 OPNSense 的 OpenVPN 事件
展開 Wazuh 上的 OpenVPN 事件,即可檢視該事件的 VPN 登入來源 IP、目標使用者等細節。
Wazuh 檢視 OpenVPN 事件細節
整合端點防護
展開端點上的防護軟體告警事件,Wazuh Agent 可以明確看到 Microsoft Defender 攔截後門程式的下載行為,並且顯示來源、時間與使用者是誰。Windows 結合 Defender,在 Linux 上則可以安裝 ClamAV 做為端點防護的搭配檢測工具。
惡意軟體事件
整合弱點檢測
在資安事件看板,可以看到下面有四筆告警,前兩筆是端點上的防護軟體偵測到惡意程式,後兩筆是端點上的軟體版本具有 CVE 漏洞,需要加以修補。
補充說明:這張圖上 Valid Accounts 事件數在 22:30 左右忽然暴增的原因,是我啟用的 Greenbone GSA (以前稱 OpenVAS) 進行排程弱點掃描的關係。
資安事件
結論
不得不說,隨著 OPNsense 與 Wazuh 持續發展,實在是缺少經費的藍隊救命工具啊!
參考資料
- OPNsense® a true open source security platform and more
https://opnsense.org/
- Wazuh Agent — OPNsense documentation
https://docs.opnsense.org/manual/wazuh-agent.html
- Wazuh - Open Source XDR. Open Source SIEM.
https://wazuh.com/
- [演講簡報] 採用開源軟體打造企業資安監測系統
http://blog.jason.tools/2022/10/infosec2022.html
