¿Tiene Wazuh capacidades para manejar virus / malware / rootkit? Si es así, ¿cómo?

Navega tus respuestas
0

Esta pregunta es similar con esta:

OSSEC capacidades para manejar un virus que ya se ha extendido al sistema más profundo

Pero no respondió de manera aproximada, ¿cómo podría hacer eso exactamente? He probado la aplicación Wazuh durante unos 5 meses seguidos, por lo que sé, no puedo eliminar el virus / software malicioso que se ha encontrado. Como si solo nos dijeran que hay algunos rootkits o virus, pero no pude encontrar la forma de eliminar ese malware con algunas de las características de wazuh, como la respuesta activa, a pesar de que el malware ya lo ha detectado.

¿Tenía wazuh capacidades para eliminar o desactivar un malware que se haya encontrado?

    
pregunta gagantous 23.08.2018 - 09:42
fuente

1 respuesta

1

Ingeniero de Wazuh aquí.

Me pregunto cómo se están detectando los Virus en primer lugar. Si tiene algún tipo de solución antivirus, puede hacer una integración y hacer que Wazuh procese alertas AV (lo que desencadena una respuesta activa para eliminar archivos maliciosos o detener procesos maliciosos).

Habiendo dicho eso, Wazuh también puede detectar malware buscando IOC (chequeos de raíz), detectando anomalías (archivos o procesos ocultos) y monitoreando el sistema de archivos (syscheck).

Algo que funciona realmente bien para detectar malware es la integración con VirusTotal. De esta manera, cuando se modifica o crea un archivo binario, Wazuh verificará contra VirusTotal y sabrá si los motores AV lo detectan. Si es así, puede desencadenar una respuesta activa para eliminarlo.

Además, Wazuh ha hecho integraciones con AV como ClamAV o Karspersky para hacer exactamente lo mismo.

    
respondido por el Santiago Bassett 23.08.2018 - 10:50
fuente

Lea otras preguntas en las etiquetas

¿Cómo configurar una jerarquía de CA de dos niveles en la autoridad de certificación de Windows 2012R2? ¿Cómo implementar el etiquetado de la máquina cuando se le permite a un usuario "recordarme" en la aplicación web? [duplicar]