HIDS - Elegir entre OSSEC regular o la horquilla Wazuh

7

Tengo la intención de configurar OSSEC y noté que parece haber dos sabores principales: simple OSSEC y Wazuh .

De lo que he podido recopilar (del de Wazuh y documentación ), las principales ventajas de Wazuh son:

  • su capacidad de integración con ELK
  • un conjunto de reglas mejorado
  • API de descanso

No tengo interés en usar ELK para este proyecto, pero ya tenemos una instancia de graylog preexistente que me gustaría conectar con OSSEC, lo que debería ser posible en OSSEC regular utilizando el formato syslog cef.

Supongo que puedo usar el conjunto de reglas mejorado incluso si ejecuto OSSEC normal, al menos no he visto nada que indique lo contrario.

En cuanto a la API de descanso, sigo teniendo poca experiencia y solo recientemente he oído hablar de REST. Ni siquiera sé cómo empezaría a utilizarlo, por lo que no estoy seguro de si debería usar el tenedor Wazuh solo para eso.

El objetivo es ejecutar agentes OSSEC en las máquinas en nuestro entorno de nube y dirigirlos a un servidor OSSEC en una máquina que ya se está utilizando para la administración y supervisión de registros en la misma red.

¿Hay otras ventajas al ejecutar Wazuh en lugar de la OSSEC normal? ¿Hay algo más que deba tener en cuenta?

    
pregunta simoesf 27.01.2017 - 12:32
fuente

2 respuestas

6

Con respecto a las diferencias de Wazuh con OSSEC, el equipo de Wazuh está trabajando en actualizar la documentación para explicarlas mejor (y en una nueva versión e instaladores).

La nueva versión de Wazuh (2.0, que actualmente se encuentra en la rama maestra), destaca:

  • OpenSCAP integrado como parte del agente, permitiendo a los usuarios ejecutar OVAL cheques
  • Nuevo WUI en la parte superior de Kibana 5, e integrado con el RESTful API para monitorear la configuración del administrador, las reglas y el estado del agentes
  • Análisis de registro mejorado y capacidades FIM.
  • Conjunto de reglas con mapeo de cumplimiento.
  • Se admiten las comunicaciones del administrador de agentes a través de TCP. Un gestor de módulos que permitirá la futura integración de otras herramientas. (en la hoja de ruta se encuentran las fuentes de OSquery y Threat Intelligence)

El registro de cambios completo se puede encontrar aquí:

enlace

Si tienes curiosidad, aquí hay algunas capturas de pantalla de la WUI.

enlace

También vale la pena mencionar que el proyecto Wazuh, como una bifurcación, se basa en el trabajo realizado por los desarrolladores y colaboradores de OSSEC a los que estamos agradecidos. Wazuh planea continuar contribuyendo al repositorio Github de OSSEC con correcciones de errores, pero también tenemos nuestra propia hoja de ruta, por lo que, muy probablemente, ambos proyectos evolucionarán de diferentes maneras.

    
respondido por el snaow 14.03.2017 - 09:09
fuente
2

Aunque mi opinión probablemente esté sesgada aquí (soy parte del equipo de Wazuh), aquí hay una actualización sobre las diferencias entre OSSEC y Wazuh:

Scalability and reliability
•   Cluster support for managers to scale horizontally.
•   Support for Puppet, Chef, Ansible and Docker deployments.
•   TCP support for agent-manager communications.
•   Anti-flooding feature to prevent large burst of events from being lost or negatively impact network performance.
•   AES encryption used for agent-manager communications (instead of Blowfish).
•   Multi-thread support for manager processes, dramatically increaing their performance.

Intrusion detection
•   Improved log analysis engine, with native JSON decoding and ability to name fields dynamically.
•   Increased maximum message size from 6KB to 64KB (being able to analyze much larger log messages).
•   Updated ruleset with new log analysis rules and decoders.
•   Native rules for Suricata, making use of JSON decoder.
•   Integration with Owhl project for unified NIDS management.
•   Support for IP reputation databases (e.g. AlienVault OTX).
•   Native integration with Linux auditing kernel subsystem and Windows audit policies to capture who-data for FIM events.

Integration with cloud providers
•   Module for native integration with Amazon AWS (pulling data from Cloudtrail or Cloudwatch).
•   New rules and decoders for Amazon AWS.
•   Module for native integration with Microsoft Azure.
•   New rules and decoders for Microsoft Azure.

Regulatory compliance
•   Alert mapping with PCI DSS and GPG13 requirements.
•   Compliance dashboards for Elastic Stack, provided by Wazuh Kibana plugin.
•   Compliance dashboards for Splunk, provided by Wazuh app.
•   Use of Owhl project Suricata mapping for compliance.
•   SHA256 hashes used for file integrity monitoring (in addition to to MD5 and SHA1).
•   Module for integration with OpenScap, used for configuration assessment.

Elastic Stack integration
•   Provides the ability to index and query data.
•   Data enrichment using GeoIP Logstash module.
•   Kibana plugin used to visualize data (integrated using Wazuh REStful API).
•   Web user interface pre-configured extensions, adapting it to your use cases.

Incident response
•   Module for collection of software and hardware inventory data.
•   Ability to query for software and hardware via RESTful API.
•   Module for integration with Osquery, being able to run queries on demand.
•   Implementation of new output options for log collector component.
•   Module for integration with Virustotal, used to detect the presence of malicious files.

Vulnerability detection and configuration assessment
•   Dynamic creation of CVE vulnerability databases, gathering data from OVAL repositories.
•   Cross correlation with applications inventory data to detect vulnerable software.
•   Module for integration with OpenScap allows the user to remotely configured scans.
•   Support for CIS-CAT, by Center of Internet Security scanner integration.

Enlace a la documentación:

enlace

Esto muestra que definitivamente hay mucho trabajo que hemos realizado sobre OSSEC en los últimos tres años que, en mi opinión, justifica usar Wazuh en su lugar.

    
respondido por el Santiago Bassett 23.08.2018 - 06:22
fuente

Lea otras preguntas en las etiquetas