Как-то раз мы задумались про Endpoint Security
Думали ли вы про безопасность своих хостов, будь то виртуалки или физические хосты? Я про то, корректно ли настроена машинка, есть ли уязвимые пакеты или какие-то явыне недостатки? Если да, то, возможно, сможете найти в посте что-то интересное/
Для защиты хостов в инфраструктуре мы сформировали следующие требования:
- Желательно OpenSource;
- Бесплатное решение или из расчета ~10 долларов за хост;
- Возможность выгрузки логов в SIEM или в формате JSON;
- Централизованное управление.
Мы не рассматривали в классическом виде решения класса XDR, так как понимали, что это будет или дорого, или плохо работающее 🙂
После ресерча остановились на двух кандидатах:
- Wazuh
- Vulners
Мы не рассматривали OSSEC, поскольку Wazuh по сути является форком OSSEC и показался более зрелым. А теперь по порядку 🙂
Wazuh
Вазух — это не просто Host Based IDS, это что-то вроде микса SIEM и XDR в одном месте. Система предоставляет централизованное управление и установку агентов на сервера, предоставляя следующие возможности:
- аналитика по детектам;
- безопасность контейнеров;
- обнаружения вторжений;
- анализ данных журналов;
- мониторинг целостности файлов;
- обнаружение уязвимостей в пакетах;
- реагирование на инциденты.
Агенты Wazuh достаточно просто устанавливаются на эндпоинт и осуществляют общение с сервером по зашифрованному каналу. Прекрасно работает с облачными решениями, например, AWS, Google cloud, Azure. Сами агенты могут быть установлены на Win, Linux, MacOS и даже AIX, прекрасно раскатываются с помощью Ansible.
На серверной части в дашбордах можно увидеть аналитику и сработки: уязвимости, аномальное поведение на хосте, анализ журналов логирования, конфигурацию ассета и тд.
Vulners
Наверное, все наслышаны про проект vulners? Кроме endpoint security проект предлагает сервисы, например, Perimeter scanner. Сам агент очень просто устанавливается на Linux сервера и так же прост в управлении. Vulners в отличии от Wazuh направлен конкретно на сканирование уязвимостей, установив агент, вы не получите анализ журналов логирования или мониторинг целостности файла, но зато сможете своевременно и емко получать информацию об уязвимостях на сервере, например, в устаревших пакетах.
Будем пробовать и Vulners, и Wazuh о впечатлениях расскажем в следующих постах.
А есть ли у вас любимчики в классе Endpoint Security? Будем рады услышать о вашем опыте.
Думали ли вы про безопасность своих хостов, будь то виртуалки или физические хосты? Я про то, корректно ли настроена машинка, есть ли уязвимые пакеты или какие-то явыне недостатки? Если да, то, возможно, сможете найти в посте что-то интересное/
Для защиты хостов в инфраструктуре мы сформировали следующие требования:
- Желательно OpenSource;
- Бесплатное решение или из расчета ~10 долларов за хост;
- Возможность выгрузки логов в SIEM или в формате JSON;
- Централизованное управление.
Мы не рассматривали в классическом виде решения класса XDR, так как понимали, что это будет или дорого, или плохо работающее 🙂
После ресерча остановились на двух кандидатах:
- Wazuh
- Vulners
Мы не рассматривали OSSEC, поскольку Wazuh по сути является форком OSSEC и показался более зрелым. А теперь по порядку 🙂
Wazuh
Вазух — это не просто Host Based IDS, это что-то вроде микса SIEM и XDR в одном месте. Система предоставляет централизованное управление и установку агентов на сервера, предоставляя следующие возможности:
- аналитика по детектам;
- безопасность контейнеров;
- обнаружения вторжений;
- анализ данных журналов;
- мониторинг целостности файлов;
- обнаружение уязвимостей в пакетах;
- реагирование на инциденты.
Агенты Wazuh достаточно просто устанавливаются на эндпоинт и осуществляют общение с сервером по зашифрованному каналу. Прекрасно работает с облачными решениями, например, AWS, Google cloud, Azure. Сами агенты могут быть установлены на Win, Linux, MacOS и даже AIX, прекрасно раскатываются с помощью Ansible.
На серверной части в дашбордах можно увидеть аналитику и сработки: уязвимости, аномальное поведение на хосте, анализ журналов логирования, конфигурацию ассета и тд.
Vulners
Наверное, все наслышаны про проект vulners? Кроме endpoint security проект предлагает сервисы, например, Perimeter scanner. Сам агент очень просто устанавливается на Linux сервера и так же прост в управлении. Vulners в отличии от Wazuh направлен конкретно на сканирование уязвимостей, установив агент, вы не получите анализ журналов логирования или мониторинг целостности файла, но зато сможете своевременно и емко получать информацию об уязвимостях на сервере, например, в устаревших пакетах.
Будем пробовать и Vulners, и Wazuh о впечатлениях расскажем в следующих постах.
А есть ли у вас любимчики в классе Endpoint Security? Будем рады услышать о вашем опыте.