Wazuh – Kibana interface

Published by Lello on

Dopo aver installato Wazuh e reso sicuro l’accesso alle API, vediamo ora l’interfaccia che ci permette di analizzare i dati inviati dagli agent e raccolti nel manager. 

Accedendo all’URL di Kibana, potremo aprire l’app di Wazuh cliccando sul logo relativo (segnato in rosso); come le altre dashboards di Kibana, quella di Wazuh presenta un summary con il numero di agents installati (distinti in attivi, disconnessi o mai connessi); in alto un menu che ci permette di navigare nelle varie sezioni.  Vediamole brevemente.

  • Overview

Questa è la sezione principale dell’app di Wazuh; fornisce una vista generale in cui è possibile visualizzare tutti gli avvisi attivati da un intervallo di tempo specificato. Esistono sezioni dedicate in cui è possibile trovare ulteriori dashboard e grafici per Security Information Management (Security events e Integrity monitor), Threat detection and response (Vulnerability), Auditing and policy monitoring (Policy monitoring e System auditing), Regulatory compliance (PCI DSS, HIPAA, GDPR, NIST 800-53)

    • Overview  – Security events

In questa scheda potremo vedere i dati relativi ad eventi di security accaduti sui dispositivi su cui è installato l’agent; verranno evidenziati anche le regole che hanno acceso l’evento, la descrizione con il relativo livello e quante volte è accaduto quell’evento.

    • Overview  – Integrity monitor

In questa scheda potremo vedere i dati relativi alle modifiche avvenute sui file systems che controlliamo tramite Wazuh. Potremo vedere i file/directory modificati/cancellati ed anche l’utente che ha effettuato l’operazione.

    • Overview  – Security events

Qui viene rappresentato il report relativo alle vulnerabilità analizzare dagli agent; vengono incrociati i dati con i dati CVE e presentati in base alle loro vulnerabilità. Le vulnerabilità sono categorizzate in base alla severity (Low, Medium, High, Critical), al dettaglio della vulnerabilità, il riferimento alla pagina CVE (con relativo codice) e quante volte è stata analizzata.

 

  • Management

Qui troviamo la gestione delle regole e dei decodificatori che Wazuh sta applicando, le configurazioni locali e centralizzate, i log del server, i report e lo stato del cluster.

  • Agents

In questa dashboard troviamo il riepilogo degli agents; in particolare ilo loro stato, i relativi avvisi, la configurazione del gruppo, le informazioni sull’hardware, ecc.

  • Dev_Tools

in questa sezione troviamo un’interfaccia per interagire con le API di Wazuh; è possibile interagire tramite PUT/GET direttamente con le API.

Vediamo ora come utilizzare Wazuh  per testare le vulnerabilità dei nostri sistemi.

← Wazuh – Securing the API

Wazuh – Vulnerability detection →