Wazuh: Opensource SIEM ดีและฟรี (บ้าน่า?)

สวัสดีครับปีใหม่ครับ เป็นอย่างไรบ้างสำหรับวันหยุดยาว ไปเจอเครื่องมือตัวนึงมาชื่อว่า Wazuh จาก Silicon Valley และโปรเจ็คนี้เกิดขึ้นจาก Opensource community ยิ่งไปกว่านั้นมีบริษัทใช้จริงเยอะมากก! ซึ่งต้นเรื่องเลยคือไปอ่านข่าว SIEM มา

But what is SIEM standfor?
SIEM มันย่อมาจาก Security Information and Event Management. อ่านประมาณ เซียมๆ / เซมๆ อะคุณ

คือก่อนหน้านี้เนี่ย คนไอทีลูกจ๊อกแบบผมเวลาจะทำ Security audit ตอนผมอยู่ช่วงเลเวล 1 เลยคือผมจะต้อง run command เพื่อเช็คทีละเครื่องเลย (ซึ่งดีนะที่บริษัทเล็ก เลยไม่หนักหนาที่จะทำเดือนหรือสองเดือนครั้ง) ต่อมาก็มีพวก Ansible ช่วย (กราบ) ในการส่งคำสั่งไปเช็คแล้ว retrieve ค่ากลับมา แต่สุดท้ายผมก็ต้องมานั่งไล่ๆดูอยู่ดี ไม่ว่าจะ grep keyword หรืออะไรก้ตามแต่ แต่จะเอาผลลัพธ์บ้านๆแบบนี้ไปให้นายดูก็ไม่เวิร์คนา เลยต้องเอาผลลัพธ์มาใส่ Sheet/Slide เพื่อ present อยู่ดี ซึ่งกินเวลาพอสมตวร ไหนกว่าเราจะรู้ว่าโดนโจมตีไปแล้ว ก็สิ้นเดือนไปแล้ว (ฉันขอโทษจริงๆ ไอทีมีคนเดียวจ้า ไหนจะต้องเอาเวลาไปเรียนแต่งหน้า นั่งสมาธิ ดำน้ำ ปลูกปะการัง ทำอาหาร นวดสปา ปลูกป่า ดำนา ดูดิสนีย์ออนไอซ์ แรลลี่ตีกอล์ฟ ล่องเรือ ส่องสัตว์ ช๊อปปิ้ง ดูงิ้ว ดูละครเวที ดูคอนเสิร์ต ดินเนอร์ ทำขนม จัดดอกไม้ เที่ยวตลาดน้ำ เรียนถ่ายรูป ดูกายกรรม ชมเมืองเก่า เข้าสัมมนา ทัวร์ธรรมมะ เรียนเต้นแล้วก็ร้องเพลง..)

แต่ไม่อีกแล้ววววววว ขอเชิญทุกท่านพับกบ Wazuh

ที่มีทั้ง Dashboard, Log manament, Inventory, Monitoring and alert and reporting คุณไม่ต้องมานั่งหลังขดหลังแข็ง audit ระบบ หรือปั่นรีพอร์ท และทราบทันทีเมื่อมีการโจมตีเกิดขึ้นในระบบของเรา (ผ่าน Email, Slack หวังว่าจะมีเพิ่มอีกนะเช่น Telegram, Mattermost ทั้งนี้ทั้งนั้นเขามี API ให้ใช้ด้วยนะครับถ้าอยากลอง custom เอง) แต่ก่อนจะไปถึงขั้นนั้น เรามาติดตั้งกันก่อน ซึ่งล่าสุดตอนนี้คือ 4.2 โดย Wazuh รองรับการติดตั้งแบบ Cluster deployment ได้ด้วย แต่ผมจะติดตั้งแค่ Sigle node หรือ all-in-one deployment แล้วกันนะครับ โดยเราจะต้องติดตั้ง Wazuh manager, Elasticsearch, Kibana และ FileBeat เนื่องจากโลกจะเปลี่ยนไป ใจจะเปลี่ยนแปลง เช่นเดียวกับ Wazuh ที่จะต้องมี version ใหม่ๆ และขั้นตอนการติดตั้งอาจจะไม่เหมือนเดิมเพราะฉะนั้นแล้ว ไปอ่าน document ที่นี่เลย

Install Wazuh agent

// change ip to your Wazuh manager
WAZUH_MANAGER="10.0.0.2" apt-get install wazuh-agent=4.2.7-1

เสร็จแล้วครับ .... ง่ายไหม แถมยังรองรับ Major OS ด้วย ดูได้ที่นี่

Wazuh's feature

แจ้งเตือนทุกความเสี่ยงตั้งแต่ System availablity risk

โอ้ว memory จะเต็มแล้วนี่ system อาจจะ crash ได้นะ

Security risk

ถ้าเกิดมีผู้ไม่ประสงค์ดีพยายาม login เข้ามาในระบบเราละ ?

Wazuh got you coverd bro

log แทบจะเด้งขึ้นมา real time เลยทีเดียว บอกตั้งแต่ประเภทของการโจมตี เวลา user และ ip ที่โจมตี

หรือถ้ามี user บางคนทะลึ่งใช้ sudo ละ ?

System audit

เราตั้งค่าอะไรที่เสี่ยงบ้างรึเปล่านะ ? นี่เลยยย จัด list มาให้แล้ว

System inventory

Basic inventory ที่จะทำให้คุณได้ทราบเบื้องต้นว่าแต่ละเครื่องสเปคเป็นยังไง ติดตั้งอะไรไว้บ้าง

นี่ยังไม่รวมถึงการ monitor windows registery หรือ ไฟล์ หากมันถูกแก้ไขหรือลบ อย่าลืมว่ามันสามารถแจ้งเตือนไปยัง slack หรือ email ได้ เพราะฉะนั้นคุณก็ไม่ต้องนั่งจ้องมันอีกต่อไป และนี่ยังไม่ใช่ทั้งหมดที่ Wazuh ทำได้ แต่เนื่องจากผมก็ยังไม่ได้ลองทั้งหมด และยังใช้กับ personal environment เท่านั้น ยังไม่ได้ลองใช้กับบริษัท

หวังว่าจะช่วยไม่ได้มากก็น้อย สำหรับ tool ตัวนี้. โปรดรักษาสุขภาพและสวัสดีปีใหม่ครับ

Ref:

Open Source XDR. Open Source SIEM | Wazuh

Wazuh is a free and open source security platform that unifies XDR and SIEM protection for endpoints and cloud workloads.

WazuhWazuh

Step-by-step installation - All-in-one deployment

User manual, installation and configuration guides. Learn how to get the most out of the Wazuh platform.

WazuhWazuh

SIEM คืออะไร? ทำไม SIEM ถึงจำเป็นต่อธุรกิจองค์กร?

ในบทความนี้ทีมงาน TechTalkThai จะพาทุกท่านไปรู้จักกับ SIEM โดยสังเขป เพื่อเป็นประโยชน์ต่อชาว IT มือใหม่ หรือผู้ที่ต้องเริ่มหันมารับผิดชอบงานทางด้าน Cybersecurity ในองค์กรกันครับ

TechTalkThaitechtalkthai