Preparamos parte da documentação Wazuh em Português (PT-BR) para você explorar, ou se preferir acesse o link da documentação oficial em Inglês.
Wazuh oferece ampla compatibilidade e recursos de integração robustos que permitem aos usuários conectá-lo a outras soluções e plataformas de segurança. A integração do Wazuh com outras soluções de segurança permite que os usuários gerenciem os dados do Wazuh de diversas maneiras.
Elastic, OpenSearch e Splunk são plataformas de software projetadas para pesquisa, análise e gerenciamento de dados. Eles são usados para coletar, indexar, pesquisar e analisar grandes volumes de dados em contextos históricos e em tempo real.
Até o Wazuh v4.5, os seguintes aplicativos integrados permitem que os usuários gerenciem o Wazuh e seus dados de segurança usando plataformas de terceiros:
Porém, a partir da versão 4.6, não desenvolveremos mais essas aplicações integradas. Iremos apoiá-los apenas com atualizações críticas de segurança.
A documentação do Wazuh descreve novos métodos de integração da implantação do Wazuh com as seguintes plataformas de segurança de terceiros:
Descrevemos como configurar as seguintes alternativas de integração para cada uma das plataformas de segurança mencionadas acima:
Além disso, a documentação oficial demonstra como importar os dashboards fornecidos para essas plataformas.
O agente Wazuh coleta dados de segurança de endpoints monitorados. Esses dados são analisados pelo servidor Wazuh e indexados no indexador Wazuh. A integração do indexador Wazuh encaminha dados de segurança analisados do indexador Wazuh para o indexador da plataforma de segurança de terceiros na forma de índices. Índices são coleções de documentos com propriedades semelhantes.
A integração do indexador Wazuh requer um indexador Wazuh em execução e usa o Logstash como encaminhador de dados para encaminhar alertas para uma plataforma de segurança de terceiros. O Logstash encaminha os alertas gerados após consultar o indexador Wazuh. Essa integração requer que você instale o Logstash em um servidor dedicado ou no servidor que hospeda o indexador de terceiros.
Recomendamos a integração do indexador Wazuh se você quiser continuar analisando dados de segurança no Wazuh e arquivá-los em um data lake para armazenamento ou análise fora de banda. O indexador Wazuh e o indexador de plataforma de terceiros criam índices para os mesmos alertas. Esta integração resulta na redundância de índices que pode levar a elevados custos de recursos.
O agente Wazuh coleta dados de segurança de endpoints monitorados. O servidor Wazuh analisa os dados e gera alertas no painel do Wazuh. Wazuh armazena alertas de segurança localmente nos arquivos de alerta /var/ossec/logs/alerts/alerts.log e /var/ossec/logs/alerts/alerts.json. A integração do servidor Wazuh opera lendo o arquivo /var/ossec/logs/alerts/alerts.json e encaminhando os alertas para a plataforma de terceiros usando um encaminhador de dados.
Recomendamos a integração do servidor Wazuh em vez da integração do indexador se você não tiver recursos suficientes para hospedar o indexador da plataforma de segurança de terceiros e o indexador Wazuh. Isto é particularmente relevante para usuários que operam o Wazuh em grande escala, gerando inúmeros alertas.
Para implementar a integração do servidor Wazuh, um encaminhador de dados deve ser instalado no mesmo sistema que o servidor Wazuh. Em configurações de vários nós, o encaminhador de dados deve ser instalado em cada nó do servidor Wazuh.
Nota: Para garantir que o Wazuh registre os alertas em /var/ossec/logs/alerts/alerts.json, verifique se a opção jsonout_output no arquivo de configuração do servidor Wazuh /var/ossec/etc/ossec.conf está definida como yes.
Interessado em nossos serviços? Deixe-nos ajudá-lo. Solicite contato agora mesmo e nossa equipe terá o prazer de atendê-lo e responder a todas as suas perguntas.