Wazuh SIEM - анализ безопасности в реальном времени

Безопасность
1

Не нашел упоминания об этом инструменте на форуме, опен сорс SIEM система, пока не дошел для интеграции к себе, возможно избыточно для домашней лабы, но считаю нужным упомянуть эту платформу, может кому-то пригодится.

Если кто-то использует, может поделится опытом.

2

Тоже не дошел до него, но может быть когда-то доберусь.
Дальше будет мое жидкое IMHO, не пинайте сильно если ошибаюсь т.к. только поверхностно разбирался.

wazuh очень сильно похож на crowdsec, но шире по функционалу

  • Но я писал сколько ресурсов занимает crowdsec, wazuh же я скачал в виде отдельной виртуалки и оно не влезло в 2ГБ оперативки, насколько я понял, оно построено на основе ELK стека, а по поводу него у меня “вьетнамские флешбеки” и дома принципиально не хотел поднимать этого монстра.
  • Что касается WAF и fail2ban, то тут замечательно справляется со своими задачами
  • SIEM, сканирование целостности и наличия уязвимостей по базам - тут только wazuh

GPT говорит, что

Минимальная конфигурация для homelab
Если ставить всё в один контейнер/VM:
4 vCPU
8 GB RAM
80 GB disk

Но даже в таком режиме:

  • система будет чувствительна к I/O
  • indexer будет занимать ~3-4GB RAM.

Реалистичные требования (нормальная работа)
Если использовать:

  • file integrity monitoring
  • vulnerability detection
  • большое количество логов

то лучше закладывать:
CPU: 6–8 vCPU
RAM: 12–16 GB
Disk: 100–200 GB

Причина — indexer (OpenSearch) активно использует RAM.

Сравнение с crowdsec

Функция CrowdSec Wazuh
Анализ логов :check_mark: :check_mark:
IDS / IPS :check_mark: :check_mark:
Автоматический бан IP :check_mark: (основная функция) :check_mark: через active response
Community threat intelligence :check_mark: (основная фича) частично
SIEM :multiply: :check_mark:
XDR / EDR :multiply: частично
Vulnerability scanning :multiply: :check_mark:
File integrity monitoring :multiply: :check_mark:
Compliance (PCI, HIPAA, CIS) :multiply: :check_mark:
Endpoint monitoring :multiply: :check_mark:
Корреляция событий минимальная мощная
Dashboards базовые полноценные (OpenSearch/Kibana)

Тоже интересно про него почитать реальные отзывы, у меня он в списке для разворачивания не этого года, еще есть что докрутить и доделать в хомлабе

3

Не совсем, задачи разные, crowdsec это защита от внешних вторжений, wazuh решает задачи внутреннего аудита софта и процессов, то есть в теории при настройке поведения или событий в системе которое администратор посчитает подозрительным или не типичным wazuh может на это отреагировать и тут можно учитывать не только сетевые факторы, а множество других которые он собирает.

Плюс подобные системы отслеживают версионность ПО и сверяются с базой CVE на наличие тех или иных уязвимостей на системах за которыми он следит.

Его прожорливость в целом оправдана, работаю с похожей системой в рамках корпоративной среды, для хомлабы это все скорее всего только ради пощупать можно разворачивать.

4

Ну по поводу внешних и внутренних угроз тут можно поспорить т.к. обе системы анализируют логи, откуда эти логи были получены уже зависит от администратора, но выявление аномалий и корреляция логов у wazzuh, конечно на более высоком уровне.

Вот тут плюс, но, насколько это актуально для дома.

Тоже был опыт в корпоративной среде и хотел нечто подобное развернуть дома.