Preparamos parte da documentação Wazuh em Português (PT-BR) para você explorar, ou se preferir acesse o link da documentação oficial em Inglês.
Veja alguns recursos importantes adicionais do Wazuh no Windows, incluindo avaliações de configuração de segurança, resposta ativa, análise de log e rastreamento de inventário do sistema. Esses componentes completam um kit de ferramentas robusto para detecção e resposta de endpoint.
O módulo SCA (Security Configuration Assessment) ajuda a garantir que os sistemas sejam corretamente configurados e utilizados de acordo com diretrizes predeterminadas. Ele realiza varreduras e examina a configuração de endpoints monitorados para detectar e corrigir quaisquer vulnerabilidades ou configurações incorretas, reduzindo assim a probabilidade de ataques. Com o SCA em Wazuh, as recomendações para corrigir problemas são fornecidas com base nas descobertas da varredura.
Os agentes Wazuh são empacotados com as políticas necessárias para seu sistema operacional específico após a instalação.
A lista abrangente de arquivos de política oficialmente suportados na tabela chamada "Políticas SCA Disponíveis"
pode ser acessada aqui.
Essas políticas estão incluídas na instalação do servidor Wazuh, tornando fácil habilitá-las.
Para obter uma descrição detalhada dos vários parâmetros de configuração do SCA, verifique a
referência do SCA.
Por padrão, o agente Wazuh executa varreduras para cada política (ou arquivos) presente na pasta do conjunto de regras: .yaml .yml
Agentes do Windows: C:\Program Files (x86)\ossec-agent\ruleset\sca
Nota: O conteúdo das pastas acima mencionadas para conjuntos de regras padrão não é retido durante as instalações ou atualizações. É aconselhável colocá-los em uma pasta diferente se forem feitas alterações ou novas políticas.
Para incorporar um arquivo de política localizado fora da pasta de instalação do agente Wazuh, é necessário incluir o caminho do arquivo de política no bloco dentro do arquivo de configuração do agente Wazuh. Uma configuração de exemplo
é fornecida da seguinte maneira: <sca>
<sca> <policies> <policy><FULLPATH_TO_CUSTOM_SCA_POLICY_FILE></policy> </policies> </sca>
Um caminho relativo para o diretório de instalação do Wazuh também pode ser configurado:
<sca> <policies> <policy>etc/shared/<CUSTOM_SCA_POLICY_FILE></policy> </policies> </sca>
Para desativar as políticas no agente Wazuh, renomeie o arquivo de política e altere sua extensão
YAML para algo diferente de .yaml ou .yml, como adicionar no final .disabled.
A segunda maneira de desativar as políticas é incluindo uma linha no arquivo do agente Wazuh como
a mostrada abaixo na seção <policy> do módulo SCA: ossec.conf
<sca> <policies> <policy enabled="no">C:\Program Files (x86)\ossec-agent\custom-sca-files\<POLICY_FILE_TO_DISABLE></policy> </policies> </sca>
O gerenciador Wazuh tem a capacidade de distribuir arquivos e configurações para agentes Wazuh que estão
conectados, conforme indicado na seção de configuração centralizada da documentação.
Esse recurso pode ser habilitado para enviar arquivos de política por push para os agentes do Wazuh em grupos definidos.
Por padrão, cada agente Wazuh pertence ao grupo, que é usado aqui como exemplo: default
1. No agente Wazuh, edite o arquivo para permitir a execução de comandos em políticas SCA enviadas do servidor Wazuh: local_internal_options.conf
echo "sca.remote_commands=1" >> C:\Program Files (x86)\ossec-agent\local_internal_options.conf
Nota: Ao habilitar a execução remota de comandos, o servidor Wazuh ganha a capacidade de executar comandos no ponto de extremidade monitorado. Os comandos remotos são desabilitados por padrão como medida de segurança, o que ajuda a reduzir a superfície de ataque caso o servidor Wazuh seja comprometido.
A habilitação dos comandos remotos não será necessária se os arquivos de diretiva forem adicionados a cada agente sem usar o servidor Wazuh para enviá-los por push. Por exemplo, o arquivo de diretiva pode ser criado manualmente diretamente no ponto de extremidade monitorado ou usado para copiar o arquivo de diretiva para o ponto de endpoint monitorado.scp
2. No servidor Wazuh, coloque um novo arquivo de política na pasta e altere sua propriedade. Substitua por um nome de política: /var/ossec/etc/shared/default<NEW_POLICY_FILE>
chown wazuh:wazuh /var/ossec/etc/shared/default/<NEW_POLICY_FILE>
3. Adicione o seguinte bloco de configuração ao arquivo do servidor Wazuh para configurar o novo arquivo de política no agente Wazuh: /var/ossec/etc/shared/default/agent.conf
<agent_config> <!-- Shared agent configuration here --> <sca> <policies> <policy>etc/shared/<NEW_POLICY_FILE></policy> </policies> </sca> </agent_config>
O novo bloco no arquivo do servidor Wazuh é mesclado com o bloco no lado do agente Wazuh e a nova configuração é adicionada: <sca>/var/ossec/etc/shared/default/agent.conf<sca>
Abaixo está uma lista de políticas SCA já incluídas no Wazuh por padrão. O agente Wazuh instalará o arquivo de diretiva apropriado com base no sistema operacional do ponto de extremidade. Políticas SCA disponíveis para endpoint do Windows 11.
Policy |
Name |
Target |
|---|---|---|
cis_win11_enterprise |
CIS Benchmark for Windows 11 Enterprise |
Windows 11 |
Recomendamos a leitura do artigo Log data collection na documentação oficial da Wazuh.
Interessado em nossos serviços? Deixe-nos ajudá-lo. Solicite contato agora mesmo e nossa equipe terá o prazer de atendê-lo e responder a todas as suas perguntas.