Cosa fa#
Wazuh è una piattaforma di sicurezza open-source che combina funzionalità di SIEM (analisi log centralizzata) e XDR (protezione endpoint avanzata). La sua architettura è distribuita per garantire scalabilità e resilienza.
TL;DR (Flusso Dati)#
graph LR
A[Wazuh Agent] -->|Porta 1514/1515| B[Wazuh Server]
B -->|Log Analizzati| C[Wazuh Indexer]
C -->|Dati Indicizzati| D[Wazuh Dashboard]
I 4 Componenti Core#
1. Wazuh Agent#
Installato sugli host (Linux, Windows, macOS, Cloud). È modulare e leggero.
- Compiti: Raccoglie log, monitora l'integrità dei file (FIM), rileva rootkit, esegue scansioni di vulnerabilità e risposte attive (Active Response).
- Comunicazione: Invia i dati al Manager attraverso un canale cifrato e autenticato.
2. Wazuh Server (Manager)#
Il "cervello" del sistema.
- Compiti: Riceve i dati dagli agent, applica il Ruleset (regole di decodifica e analisi) per identificare minacce e genera alert. Gestisce anche la configurazione remota degli agent.
- Integrazione: Può ricevere dati "agentless" da firewall o switch tramite syslog.
3. Wazuh Indexer#
Un motore di ricerca e analisi full-text (basato su OpenSearch).
- Compiti: Memorizza gli alert e i log analizzati dal server come documenti JSON. Permette ricerche istantanee su enormi volumi di dati storici.
- Struttura: Simile a un database NoSQL (come MongoDB), organizza i dati in indici temporali.
4. Wazuh Dashboard#
L'interfaccia web per l'analista SOC.
- Compiti: Visualizzazione degli alert, dashboard per conformità (PCI-DSS, NIST, GDPR), investigazione degli eventi e gestione della piattaforma.
Porte e Protocolli Chiave#
| Porta | Protocollo | Uso |
|---|---|---|
| 1514 | UDP/TCP | Canale dati (Agent -> Manager) |
| 1515 | TCP | Registrazione nuovi Agent |
| 55000 | HTTPS | Wazuh API (Manager management) |
| 9200 | HTTPS | Comunicazione con l'Indexer |
Scenario Reale (Blue Team)#
Un utente malintenzionato modifica il file di configurazione del webserver.
- Agent: Il modulo FIM rileva la modifica e invia un evento al Manager.
- Manager: Una regola scatta perché la modifica è su un file critico. Genera un alert di livello 7.
- Indexer: Salva l'alert nel database JSON.
- Dashboard: L'analista vede apparire un alert rosso nella sezione "Integrity Monitoring".
Collegato a#
- observability — Hub Categoria
- soc-tiers — Strumento per Tier 1/2
- investigazione-linux — Log analizzati da Wazuh
- wazuh-auditd-custom-rule — integrazione auditd e regole custom
