adaper

Digital Forensics and Incident Response (DFIR)

von

Alexander Nolting
in , ,
Vorige Artikel

Was ist DFIR

DFIR (Digital Forensics and Incident Response) ist ein hochspezialisiertes Teilgebiet der IT-Sicherheit, das sich auf die Identifizierung, Behebung und Untersuchung von Sicherheitsvorfällen in der Informationstechnologie konzentriert.
DFIR ist eine Kombination aus Digitaler Forensik und der (automatisierten) Reaktion auf einen Vorfall, der mit Hilfe der (automatisierten) Erfassung von Informationen aus der Digitalen Forensik festgestellt wurde.

Vorgestellt in diesem Artikel werden die drei am weitesten verbreiteten Lösungen zur Erfassung von Infrastruktur Informationen und zur Auswertungen diesen Informationen: osquery, Velociraptor und WAZUH.

DF

Das Ziel einer Untersuchung eines IT Systems mit forensischen Techniken ist es Beweise zu sammeln und sichern. Diese finden sich im Dateisystem oder Betriebssystem des angegriffenen Systems oder auch an anderer Stelle wie Netzwerkkomponenten oder Storagesystemen. Sie sollen einen möglichst umfassenden Einblick über die Aktivitäten, die zur Kompromittierung und in der Folge über mögliche entwendete Informationen liefern.

Nur durch digitale Forensik kann eine Beweiskette geschaffen werden, die genau genug ist, um von Strafverfolgungsbehörden und in Gerichtsverfahren zugelassen zu werden. Forensische Untersuchungen sind von Natur aus „tiefgehend und langsam“, es steht nicht die Geschwindigkeit im Vordergrund, sondern vielmehr um Genauigkeit und das Ermitteln der Wahrheit.

Zu den gängigen forensischen Datenquellen und Artefakten gehören:

  • Vollständige Disc-Images
  • Forensik des Arbeitspeicher
  • Forensik des Dateisystems
  • Forensik des Verhaltens einer Anwendung
  • Netzwerkforensik

IR

Die Reaktion auf Vorfälle (Incident Response) hingegen hat zu allererst die Geschwindigkeit im Fokus, um eine weitere Verletzung der Integrität anderer System und mögliche Zerstörung oder Kopierens vertraulicher Informationen zu verhindern.

Eine Reaktion auf Vorfälle führt ebenfalls zu einer Untersuchung des betroffenen IT System, dabei steht aber mehr die Post-Mortem Analyse im Vordergrund. Es wird eine umfassende Übersicht über den Vorfall benötigt, um die vollständige Tragweite des Vorfalls und dessen Einfluss auf alle unmittelbar und mittelbar betroffenen Dienste zu verstehen und um Massnahmen einzuleiten, die die betroffenen Dienste wiederherstellen.

Dabei kann Digitale Forensik für die Untersuchung hilfreich sein, und wird auf Grund der hohen Komplexität des Betriebs heutiger Anwendungen und IT Umgebungen auch nicht mehr als eine für sich losgelöste Tätigkeit betrachtet. Daher wird nach heutigen Standards Digitale Forensik und die Reaktion auf Vorfälle als eine mitander verbundene Massnahme betrachtet, um überhaupt wieder einen sicheren Service herzustellen, dem auch die gebotene Vertrauenswürdigkeit zu gesprochen werden kann.

Wer ist betroffen

Regierungen, Institutionen, Behörden, Unternehmen und das Gesundheitswesen erleben dieser Tage eine Konzentration von Angriffen und Ausspähversuchen, wie sie zuvor noch nicht beobachtet wurden. Die Angriffsvektoren reichen von Brute Force Angriffen auf Logins über Social Engineering oder Kompromittierung der Lieferkette hin zu gezielten Angriffen auf Logdateien, die ausgewertet werden um zum Beispiel Master Keys auszulesen, wie letzten Sommer geschehen innerhalb Microsofts Cloud-Diensten. Auch vor dem Diebstahl von entsorgter IT Produkte und Unterlagen vom Erzeuger und Nutzer selber oder bei dem bestellten Entsorgern schrecken Angreifer nicht zurück.

Häufig geht es den Angreifer darum Malware zu verbreiten, Logins zu ermitteln oder Login Token sicherzustellen und in der Folge um den Diebstahl und die Verschlüsselung von Dokumente mit dem Ziel den Besitzer zu erpressen. In anderen Fällen möchte man lieber unerkannt bleiben und das vorrangige Ziel ist die langfristige Etablierung von Zugängen in Email, Groupware, Anwendungen zu Collaborativen Arbeit oder Dateiablagen zur Sicherstellung eines möglichst kontinuierlichen Abflusses von Informationen wie Geschäftsgeheimnnissen, Interna aus Verhandlungen oder Inofrmationen zu Produktdesigns und ähnlichen.

Die DSGVO und das Bundesamt für Informationssicherheit mit der KRITIS Verordnung schreibt vor, das Angriffe und sollten sie erfolgreich gewesen sein, also ein Data Breach vorliegt und Daten sind abgeflossen oder jemand Unberechtigter hatte Zugriff auf Daten und Applikationen, diese innerhalb 72 Stunden (DSGVO) und je nach Schwellenwert des Unternehmen und Branchenzugehörigkeit unverzüglich (BSI KRITIS Verordnung) zu melden sind.

Diese betrifft neben Deutschen auch ausländische Unternehmen, die in Deutschland eine Vertretung unterhalten. Diese Vertretungen unterliegen in jedem Fall der DSGVO und je nach Art der Branche und erbrachten Dienstleistung oder hergestellten Produkts, dass auf Grund seiner Natur im wesentlichen nur zur Nutzung am Standort, also in Deutschland geeignet ist und ausschliesslich dort verwertet wird, ggf. der BSI KRITIS Verordnung.

Um Angreifern vorzubeugen, oder zumindest im Falle eines Angriffs (ob erfolgreich oder nicht erfolgreich) an weiterführenden Information über die Natur des Angriffs als auch die betroffenen Systeme (Hard- und Software) zu gelangen, empfiehlt sich eine EDR / XDR Lösung in Kombination mit einem Information Security Management System (ISMS) und der Fähigkeit zur forensischen Analyse zu etablieren.

EDR/XDR, SIEM und DFIR Lösungen

Hier werden ein Framework sowie zwei integrierte Lösungen zur Security, Compliance und Digital Forensics Analyse aus der Open Source Welt vorgestellt. Diese sind zudem auch der de facto Standard in Sachen Security Management, Informationssammlung und Analyse.
Es handelt sich um osquery (der de facto Open EDR Scanner), von Facebook entwickelt und 2015 unter der GNU Public License als OpenSource veröffentlicht, Velociraptor von Rapid7 als DFIR Lösung, im August 2018 unter der GNU Affero General Public License veröffentlicht und zuletzt WAZUH XDR, welche im November 2015 unter der GNU General Public License 2 das Licht der Welt erblickte.

Alle drei Lösungen respektive Plattformen sind in der Lage als EDR/XDR Scanner zu fungieren. Die Anwendungen bedienen zwei Zielgruppen. Da wäre im Fall osquery die Gruppe der Operators sowie Devs, Security und Monitoring Spezialisten, die die ihre Plattform selber aufbauen und die Gruppe, die es bevorzugt mit einem fertige Stack zu arbeiten. Innerhalb dieser beiden Gruppe gibt es jedoch das gemeinsame Interesse, Zugriffe auswerten zu können und im Fall eines Security Incident schnelle Erkenntnisse aus den Daten bezüglich verwendeter Angriffsvektoren gewinnen zu können.

Daher unterscheiden sich die vorgestellten Anwendungen bezüglich der weiterführenden Fähigkeiten wie „Automated Response“ oder „Asset Management“, einer „SIEM Anbindung“ oder forensischer Fähigkeiten, die den Spezialisten bei seiner Analyse mit fertigen Werkzeugen und Methoden unterstützt.

Herausforderungen

Eine wesentliche Herausforderung aus Sicht der Datenerfassung besteht darin, dass Endpunkte häufig nicht verfügbar sind, um Daten über sie zu erfassen. Dieses Problem wird von Lösungen wie Velociraptor oder WAZUH durch entsprechende Funktionalität zur Erfassung von Daten, wenn registriert wird, das der Endpunkt wieder verfügbar ist, gelöst. Im Falle von osquery muss sich das betreuende Team selbst um diesen Fall kümmern, oder auf die Suche nach einer ggf. vorhandene Externsion machen und diese entsprechend ihren Bedürfnissen integrieren.
Andere Herausforderungen sind die klassisch in der Forensik verwendeten Arbeitsweisen, beziehungsweise deren Arbeitsschritte:

  • Akquisition
  • anschliessende Bearbeitung
  • Analyse und Erstellen des Berichts über den Vorfall

Dies stellt in der heutigen IT Welt ein grosses Problem dar, da es in keiner Weise mit den potentiell auszuwertenden Daten einer grossen Menge an Hosts skaliert.

osquery unterstützt den Anwender und dieses Vorgehen nicht, sondern es muss hier mit Hilfe der Lösung, in die es integriert wird, abgebildet werden. Im Falle von Velociraptor und WAZUH wurde dieses Problem durch Bereitstellung von entsprechenden Hilfsmitteln addressiert.

Zu Letzt steht die Frage nach der Source of Truth oder auch Baseline im Raum. Diese wird nur von Velociraptor für sich beantwortet: der Host so wie er zum Startzeitpunkt der Untersuchungen vorgefunden wird. osquery und WAZUH treffen dazu keine Aussage. Ob das Vorgehen von Velociraptor in jedem Fall das richtig ist, darüber lässt sich streiten. Es ermöglicht zumindest eine schnelle Implementierung der Monitoring und Analyseartefakte, während sich bei den beiden anderen Tools, die Admins darüber Gedanken machen müssen, wie sie diese Frage beantworten wollen.
Nun kann man bei grösseren IT Organisationen davon ausgehen, dass es ein funktionierendes Konfigurationsmanagement und damit verbunden das Vorhandensein eines Konfigurationsmanagement Anwendung oder Provisioning Tools wie Ansible, Puppet, Chef, Pulumi, Terraform, Heat oder andere, gibt. Die dort hinterlegten Konfigurations- oder Deployment Skripte sind demnach die Baseline oder Source of Truth.
In anderen Fällen bedeutet das in jedem Fall, das die Arbeit im Raum steht, den Host auf Sicherheit zu untersuchen, zum Beispiel unter zur Hilfenahme von MITRE ATT&CK und der eigenen Dokumentation, um sicher zu sein, dass zu betreibendes System oder Netzwerk sich so verhält wie es erwartet wird.

osquery

osquery, von Facebook in 2014 entwickelt und in 2015 unter der GNU Public License als OpenSource veröffentlicht, stellt den de facto Open EDR Scanner dar. Die Kernaufgaben sind Security, Compliance und DevOps.

osquery beschreibt sich im ersten Absatz auf der Startseite seiner Dokumentation selbst wie folgt:

osquery ist ein Framework zur Instrumentierung von Betriebssystemen wie Windows, OS X (macOS) und Linux. Die Werkzeuge machen Low-Level Analysen und Überwachung von Betriebssystemen sowohl leistungsfähig als auch intuitiv.

Osquery macht ein Betriebssystem als leistungsstarke relationale Datenbank verfügbar. Das erlaubt es mittels SQL Abfragen zu schreiben, um Betriebssystemdaten zu untersuchen. In osquery bilden SQL-Tabellen abstrakte Konzepte wie laufende Prozesse, geladene Kernel-Module, offene Netzwerkverbindungen, Browser-Plugins, Hardware-Ereignisse oder Datei-Hashes ab.

osquery is an operating system instrumentation framework for Windows, OS X (macOS), and Linux. The tools make low-level operating system analytics and monitoring both performant and intuitive.

osquery exposes an operating system as a high-performance relational database. This allows you to write SQL queries to explore operating system data. With osquery, SQL tables represent abstract concepts such as running processes, loaded kernel modules, open network connections, browser plugins, hardware events or file hashes.

https://osquery.readthedocs.io/en/latest/

Anwendungsfälle

osquery wird häufig für folgende Zwecke eingesetzt:

  • Inventarisierung: Erfassung der Hardware- und Software-Bestands.
  • Sicherheitsüberwachung: Erkennung von Malware, ungewöhnlichem Verhalten und Konfigurationsabweichungen.
  • Performance-Monitoring: Überwachung der Systemleistung und Identifizierung von Engpässen.
  • Compliance-Management: Überprüfung der Einhaltung von Sicherheitsrichtlinien.

Kernfunktionen

osquery beschreibt seine Kernfunktionen mit Security, Compliance und DevOps. Es wurde entwickelt, um den wachsenden Bedarf an Low-Level Abfragen über den Zustand eines Systems durch den Administrator – zum Beispiel ob sich Veränderungen an einer Datei ergeben haben und welche das sind – mit Hilfe vorgefertigter Abfragen durchzuführen sowie einen Discovery Dienst, um eine Automatisierung zu vereinfachen. Es erlaubt YARA Rules (Dokumentation zu YARA ist hier zu finden) auszuführen und die Ergebnisse der Malware Analyse weiter zu verarbeiten. Sein Design und die ausgesprochen gute Dokumentation, der ausführlichen Beschreibung des Schemas und einer grossen Anzahl auf Github zu findenden Community Extensions erlaubt es nach dem Herunterladen der Sourcen ein dem eigenen Bedarf entsprechendes osquery zu erstellen.

Das Framework ist dank seiner sehr aktiven Community noch immer lebendig und wird weiterentwickelt. Es ist zu einem Framework herangewachsen, die den Funktionen anderer „integrierten“ Lösungen in nichts nachsteht – sofern man gewillt ist den Integrationsaufwand selbst zu stemmen.
Zudem stehen eine grosse Menge an Extensions zur Verfügung, die durch Unternehmen und der Community entwickelt wurden, und die je nach Lizenz für eigene Arbeiten wiederverwendet werden können. Es findet sich zudem eine Repository auf Github, osquery-attck, dass genauso wie WAZUH und Velociraptor eine Integration der MITRE ATT&CK Knowledge Base in osquery vornimmt. Leider wird dieses Repository seit einigen Jahren nicht mehr gepflegt, es kann aber als Ideengeber durchaus nützlich sein.

Die Verwendung des osquery Framework

osquery allein reicht nicht aus, um ein großes Netzwerk zu überwachen, da osquery keinerlei Funktionalität zur Verwaltung und Orchestrierung von Clients oder Server vorhält und auch kein GUI ausser einer CLI basierten Shell enthält. osquery stellt in seiner vorliegenden Form ein reines Framework dar, ohne jegliches für Network, User, Katalog und andere für grosse Infrastrukturen notwendiges Management von Ressourcen und Assets. Solche Fähigkeiten müssen zum Beispiel mit Tools wie FleetDM nachgerüstet werden. Der SQL basierte Ansatz ermöglicht, solange es sich um einfache Abfragen handelt, schnelle Antworten, müssen allerdings komplizierte Abhängigkeiten zwischen den Informationen in der Datenbank in eine Abfrage integriert werden, Stichwort: JOINS, kann es schnell für Unerfahrene kompliziert und schwierig bis langwierig werden, in kurzer Zeit Antworten zu generieren.
Zudem ist für eine konsistente und korrekte Antwort entsprechende Disziplin im Team notwendig, und man ist schnell gezwungen, Personen mit Erfahrung im Aufbau von APIs mit geeigneten Tools ein Repository aufbauen zu lassen.
Um daraus eine integrierte Monitoring und Security Lösung entstehen zu lassen, sollte die IT Organisation allerdings auf das KnowHow von erfahrenen Administratoren, Security und Monitoring Spezialisten sowie Architekten zurückgreifen können. Unternehmen, die schon heute den DevOps Gedanken Leben, werden sich mit osquery schnell anfreunden. Unternehmen, die ein integriertes Asset Managment oder automatisiertes Response Handling und andere Annehmlichkeiten suchen, sind bei den beiden anderen Kandidaten besser aufgehoben.

Velociraptor

Velociraptor wurde von Rapid7 und in einer Initialen Version am 11 Aug. 2018 unter der GNU Affero General Public License, Version 3 als Open Source veröffentlicht. Die Entwicklung wurde durch die beiden grossen Open Source Porjekte Google Rapid Response (GRR) und osquery inspiriert.

Velociraptor beschreibt sich im ersten Absatz auf der Startseite seiner Dokumentation selbst wie folgt:

Velociraptor ist eine einzigartige, fortschrittliche Open-Source-Plattform für Endpunktüberwachung, digitale Forensik und Cyber-Reaktion.

Velociraptor is a unique, advanced open-source endpoint monitoring, digital forensic and cyber response platform.

docs.velociraptor.app/docs/overview

Kernfunktionen

Velociraptor wurde von Security Experten mit Schwerpunkt auf Digitale Forensik und Reaktion auf Sicherheitsvorfälle (Digital Forensics and Incident Response – DFIR) entwickelt. Die Lösung sollte sie bei der Jagd (Hunt) nach bestimmten Artefakten unterstützen, um auffällige Verhaltensmuster von Prozessen auf dem System oder im Netzwerk, Rückstände von Prozessen im Speicher oder auf der Festplatte, Hinterlassenschaften wie manipulierte Konfigurationen (Windows Registry / Linux Config Files, neue Benutzer auf dem lokalen System oder im Verzeichnisdienst oder andere temporäre für die Manipulation eines System oder Netzwerk notwendige Dateien oder Veränderungen an vorhandenen Konfigurationen über grosse Mengen an Endpunkten (Desktop PCs, Server, Netzwerkkomponenten, etc.) in der gesamten Infrastruktur, also über Netzwerkgrenzen hinweg einzusammeln. Eine weitere Priorität war, dass dies in sehr kurzer Zeit geschehen, was ein und leistungsstarkes und performantes Design erforderte und vor allem den Grossteil der Last, die bei der Datenerfassung entsteht, auf dem Endpunkt verlagert. Fähigkeiten wie Compliance findet man hier nicht und müssen über Integrationen mit weiteren Lösungen von Rapid 7 oder anderer Anbieter verfügbar gemacht werden.

Design

Velociraptor besteht aus dem Client und einem leichtgewichtigen Server. Beides ist in Go geschrieben. Neben der Triage und Aquisition, dem Hunt nach Artefakten Der wichtigste Aspekt ist allerdings die Möglichkeit zur forensischen Analyse, der Beweissicherung, die korrelierte Untersuchung von Aktivitäten von Benutzern, Aktivitäten auf dem Host und im Netzwerk und diese dauerhaft zu speichern, um die Möglichkeit zur vollständigen Rekonstruktion eines Vorfalls oder Datenschutzverletzung zu erhalten. Diese Vorgaben führten schliesslich zu Velociraptor.

Die Entwicklung von Velociraptor wurde von GRR und osquery inspiriert, was seine grundsätzliche Funktionsweise betrifft. So bezeichnet Velociraptor die Erfassung von Informationen wie das Suchen und Sammeln der selben Datei und deren Inhalt oder die Inhalte eines Schlüssel oder Zweigs der Windows Registry auf einer Vielzahl von Maschinen genau wie GRR als Hunt.
Um seine Datenbank abzufragen wurde die Velociraptor Query Language (VQL) geschaffen.

GUI

Dem Anwender seht ein GUI zur Verfügung, in dem der Server Status, eine Benutzerverwaltung, ein Dashboard, Informationen über die Clients, die Verwaltung der Hunts, Zugriff auf das Virtual Filesystem View (VFS) und vieles mehr übersichtlich präsentiert werden.

Velociraptor Query Language

Die Velociraptor Query Language soll wie SQL zu benutzen sein, allerdings ohne dessen Nachteile bei komplexen Konstrukten wie sie durch JOINS und anderen SQL tpischen Eigenschaften entstehen, auskommen.
Das Design von VQL ist beeinflusst durch den Monitoring Gedanken. Daher ist VQL ein Framework das den Fokus auf das einfache Erstellen hochgradig angepasster Abfragen legt, mit dem beinahe jeder Aspekt eines Endpunkts, ganzer Gruppen von Endpunkten oder des gesamten Netzwerk abgefragt werden kann. Diese Abfragen werden in ein als Artefakt bezeichnetes Paket gepackt und dann die Jagd (Hunt) nach diesem Artefakt in Infrastruktur gestartet. Diese Artefakte können als ständig aktive Überwachungsregel zum kontinuierlichen Sammeln von Informationen auf einem Endpunkt verwendet oder zur Automatisierung auf Hosts eingesetzt werden.

Die Stärke von Velociraptor liegt in seiner Fähigkeit Live, also zur Laufzeit eines Betriebssystems oder Prozesses eine Analyse durchzuführen.

Trotz der Fähigkeiten von Velociraptor, alles mögliche an Informationen auf jedem Endpunkt einzusammeln und auf Grund seines Design die Last der Informationserfassung auf dem Endpunkt stattfindet, möchte man dennoch vermeiden, das die Datenbank ins Uferlose wächst. Daher empfiehlt das Team um Velociraptor sich über die zu suchenden Artefakte vor der Erfassung möglichst genau zu bestimmt und die Abfragen so zu gestalten, dass sie genau nur den Zeitraum auf dem Endpunkt betrachtet, der für die Untersuchung relvant ist.

Für Anwender, die an die Grenzen der VQL gelangt sind, bietet das Framework die Möglichkeit eigene Erweiterungen in verschieden Hochsprachen (z.B. Java, C++, C#, Python) zu entwickeln, mit denen sich Aufgaben leichter lösen lassen, als es in VQL allein möglich wäre.

Forensic Analysis

Mit VQL allein werden Anwender nicht glücklich. Deshalb werden für die typischen forensischen Untersuchungen einen umfangreicher Satz an Plugins bereitgestellt, die die Arbeit mit DFIR ermöglichen und den Anwender unterstützen. Die Stärke von Velociraptor liegt in der breiten Palette an VQL-Plugins und -funktionen, die darauf ausgerichtet sind, DFIR-Untersuchungen und Erkennungen effizient durchzuführen.
Wie auch schon in osquery, werden YARA Abfragen zur Suche nach Inhalten unterstützt.

Automatisierung

Die grosse Flexibilität von Velociraptor ergibt sich aus der Leistungsfähigkeit von VQL. Neben der Verwendung von VQL zum Sammeln von Artefakten auf dem Endpunkten, kann VQL auch auf dem Server verwendet werden. Durch das Ausführen von VQL-Abfragen auf dem Server können Aufgaben auf dem Server automatisiert werden. Dabei sollte man allerdings sein Konfigurations-Management nicht aus den Augen verlieren.

WAZUH

WAZUH, ein Fork von OSSEC entstanden in 2015 und von WAZUH Inc. weiterentwickelt wurde in 2015 unter der GNU GENERAL PUBLIC LICENSE, Version 2 als Open Source veröffentlicht.

WAZUH beschreibt sich im ersten Absatz auf der Startseite seiner Dokumentation selbst wie folgt:

Wazuh ist eine Sicherheitsplattform, die einheitlichen XDR- und SIEM-Schutz für Endpunkte und Cloud-Workloads bietet. Die Lösung besteht aus einem einzigen universellen Agenten und drei zentralen Komponenten: dem Wazuh-Server, dem Wazuh-Indexer und dem Wazuh-Dashboard.

Wazuh is a security platform that provides unified XDR and SIEM protection for endpoints and cloud workloads. The solution is composed of a single universal agent and three central components: the Wazuh server, the Wazuh indexer, and the Wazuh dashboard.

https://documentation.wazuh.com/current/quickstart.html

Kernfunktionen

WAZUH definiert sich als eine Plattform für XDR und SIEM. Im Bereich XDR werden als Kernfunktionen Endpoint security, Threat intelligence, Security operations und Cloud security aufgeführt, für SIEM reklamiert das Unternehmen Security Log Analysis, Vulnerability Management Securtiy Configuration Assessment und Regulatory Compliance.

Design

WAZUH wurde aus dem Fork von OSSEC in 2015 entwickelt, um der stagnierenden Entwicklung von OSSEC etwas entgegen zu setzen. OSSEC selber existiert ebenfalls noch und die Entwicklung der Plattform hatte zwischenzeitlich auch wieder Fahrt aufgenommen, scheint aber mit einem letzten Release in 2022 erneut zum Erliegen gekommen zu sein.
Die Wurzeln von OSSEC sind noch immer deutlich in der Plattform zu erkennen, wie sich an den grundlegenden Fähigkeiten wie Protokollanalyse, Integritätsüberwachung, Echtzeitwarnung und aktive Reaktionsfunktionen zeigt. WAZUH bietet allerdings keiner Unterstützung für Digital Forensics und ist auf eine Integration an zum Beispiel die Open Source Lösung DFIR Iris angewiesen.

Setup

Ein typisches WAZUH Setup besteht aus den Komponenten Client, Master Server, Worker Node(s) (1..n), dem Indexer und einem Dashboard. Die Wazuh-Serverkomponente analysiert die von den Agenten empfangenen Daten und löst Warnungen aus, wenn Bedrohungen oder Anomalien erkannt werden. Sie wird auch verwendet, um die Agentenkonfiguration aus der Ferne zu verwalten und ihren Status zu überwachen. Die Worknodes übernehmen die Hauptaufgaben der verschiedenen Analysen in Analyse Engine und den Weitertransport an den Indexer, der dann die Daten in der Datenbank ablegt und indiziert.
Danach stehen diese für das Dashboard bereit und können vom diesem durchsucht und für die Visualisierung aufbereitet werden.

Funktionen

Unterhalb dieser Kernbereiche sind die folgenden Fähigkeiten implementiert:

Endpoint securityThreat intelligenceSecurity operationsCloud security
Configuration assessmentThreat huntingIncident responseContainer security
Malware detectionLog data analysisRegulatory compliancePosture management
File integrity monitoringVulnerability detectionIT hygieneWorkload protection
WAZUH Funktionsumfang

XDR

Die Wazuh Extended Detection and Response (XDR) Plattform hilft der It Organisation Bedrohungen über mehrere IT-Infrastrukturebenen hinweg zu erkennen, zu analysieren und darauf reagiert. Es werden Telemetriedaten von Endpunkten, Netzwerkgeräten, Cloud-Workloads, APIs von Drittanbietern und anderen Quellen erfasst.
Dafür stehen die folgenden Funktionen bereit:

  • Threat hunting
  • Behavioral analysis
  • Automated response
  • Cloud workload protection
  • Threat intelligence
  • Compliance and reporting

SIEM

Die Wazuh Security Information and Event Management (SIEM) Lösung ist eine zentralisierte Plattform zur Aggregation und Analyse von Telemetriedaten in Echtzeit zur Bedrohungserkennung und Compliance. Dazu sammelt Wazuh Ereignisdaten aus verschiedenen Quellen wie Endpunkten, Netzwerkgeräten, Cloud-Workloads und Anwendungen.
Es werden die folgenden Funktionen bereitgestellt:

  • Security log analysis
  • Vulnerability detection
  • Security Configuration Assessment
  • Regulatory compliance

Allein die Summe der unterstützten Funktionsbereiche und am Beispiel der Möglichkeiten die der Bereich Compliance bietet, zeigt den Anspruch den typischen Grossskunden zu bedienen. Hier werden Regulatorien und gesetzliche Vorgaben wie PCI DSS, HIPAA, GDPR, NIST, SOC 2 und weitere nicht nur auf Einhaltung in der Infrastruktur überprüft, sonder auch gleich für das Audit entsprechende Reports bereitgestellt. Dies ist im Vergleich mit den anderen Lösungen ein Alleinstellungsmerkmal. Somit ist die Zielgruppe klar die der Grossunternehmen, deren Wunsch es ist, auf einen Zweitanbieter für die SIEM Lösung zu verzichten und stattdessen einem Anbieter auswählt, der XDR und SIEM aus einer Hand bietet.

Integrationen

Neben der schon erwähnten Integration in DFIR IRIS zur Ergänzung mit Fähigkeiten zu Digitalen Forensik, kann darüber hinaus der Wazuh-Server mit Hauseigener Unterstützung in weitere externe Software integriert werden, darunter Ticketsysteme wie ServiceNow, Jira und PagerDuty sowie Instant-Messaging-Plattformen wie Slack. Diese Integrationen eignen sich zur Rationalisierung von Sicherheitsabläufen.