Security
Wazuh – Pro-active response – Examples
In questo post vedremo come Wazuh possa reagire in maniera pro-attiva (nel momento in cui l’evento accade) ad un tentativo di attacco di tipo brute-force. Analizzeremo due casi:
- come bloccare un attacco di tipo brute force tramite script win_route-null;
- come bloccare un attacco di tipo brute-force verso la pagina di login di un CMS (WordPress/Joomla), tramite un firewall perimetrale. (more…)
Security
Wazuh – Pro-active response
Una parte molto importante del lavoro svolto da Wazuh è quello di reagire immediatamente all’attivazione di un alert, un livello di alert o un gruppo di regole; questa reazione viene chiamata active response.
Security
Wazuh – Regole
In questo post familizzieremo con le regole di Wazuh; le regole sono mantenute da Wazuh Inc. e, essendo Wazuh un progetto open-source, ad esse contribuisce la community di Wazuh.
Le regole vengono utilizzate per rilevare attacchi, intrusioni, uso improprio del software, problemi di configurazione, errori di applicazioni, malware, rootkit, anomalie di sistema o violazioni delle security policy.
Security
Wazuh – FIM (File Alteration Monitor)
Vediamo come utilizzare Wazuh per intercettare delle modifiche non autorizzate al nostro file system; nel caso di macchine Windows, possiamo anche controllare alterazione del registry.
Questa caratteristica viene identificata in genere come FIM (File Alteration Monitor).
Security
Wazuh – RDP brute-force attack
Come già visto per l’ attacco SSH di tipo brute-force, vediamo come evidenziare un attacco di tipo RDP su un server Windows su cui è aperto/installato il servizio Terminal Server.
Security
Wazuh – SSH brute-force attack
Vediamo come scovare tramite Wazuh un attacco SSH di tipo brute-force.
Security
Wazuh – Vulnerability detection
Grazie all’integrazione dei feed di vulnerabilità delle maggiori distribuzioni Linux (Canonical/Ubuntu, Debian, RedHat/CentOS e NVD – National Vulnerability Database), Wazuh è in grado di rilevare vulnerabilità nelle applicazioni installate negli agenti utilizzando il modulo Vulnerability Detection. Wazuh è anche in grado di riconoscere le vulnerabilità di Windows (indicizzate come CVE) rilevando gli hotfix installati.
Security
ELK Stack – Kibana Auditbeat Dashbords
Kibana prmette la visualizzazione ed analisi dei dati inviati da Auditbeat e contenuti in Elasticsearch. (more…)
Linux
Wazuh – Kibana interface
Dopo aver installato Wazuh e reso sicuro l’accesso alle API, vediamo ora l’interfaccia che ci permette di analizzare i dati inviati dagli agent e raccolti nel manager.