Wazuh Docker Compose (Wie es für Entwickler funktioniert)

Containerisierte Bereitstellung

Wazuh Docker nutzt die Docker-Technologie, um alle seine Komponenten wie Wazuh Manager, Elasticsearch und Kibana in vorgefertigte, sofort einsatzbereite Container zu verpacken. Dank dieser containerbasierten Architektur lässt sich Wazuh unkompliziert überall einsetzen, wodurch die Konsistenz über verschiedene Umgebungen hinweg gewährleistet und die Komplexität der Einrichtung und Wartung der Plattform reduziert wird.

Skalierbarkeit

Wazuh Docker ist für dynamische Umgebungen konzipiert und ermöglicht es einzelnen Komponenten, unabhängig voneinander zu skalieren. Beispielsweise können Elasticsearch-Knoten bei einer Zunahme des Volumens der überwachten Daten von den Benutzern skaliert werden, um die Arbeitslast zu bewältigen und eine effiziente Leistung in einem groß angelegten Einsatz zu gewährleisten.

Portabilität

Die Docker-Architektur von Wazuh gewährleistet, dass es auf lokalen Rechnern, Cloud-Diensten oder Container-Orchestrierungsplattformen wie Kubernetes eingesetzt werden kann. Durch seine Portabilität wird die Kompatibilität mit verschiedenen Infrastrukturen gewährleistet, sodass Organisationen es an ihre individuellen betrieblichen Bedürfnisse anpassen können.

Vereinfachung des Managements

Wazuh Docker vereinfacht die Komponenten-Orchestrierung durch die Nutzung von Docker Compose. Die ansonsten komplexe Aufgabe, den Wazuh-Stack zu starten, zu stoppen und zu verwalten, wird dadurch einfacher; Der administrative Aufwand wird verringert, sodass auch weniger erfahrene Benutzer Aufgaben mit minimalem Aufwand erledigen können.

Log-Analyse

Wazuh Docker aggregiert und korreliert Protokolle aus beliebigen Quellen, seien es Server, Anwendungen oder Geräte. Es unterstützt Organisationen bei der Erkennung und Reaktion auf Sicherheitsvorfälle durch die Bereitstellung von Echtzeit-Protokollkorrelationen.

Bedrohungserkennung

Wazuh Docker identifiziert Bedrohungen, Schwachstellen und verdächtige Aktivitäten in überwachten Endpunkten mithilfe integrierter Regeln und anpassbarer Konfigurationen. Dies stärkt den proaktiven Schutz einer Organisation vor Sicherheitsrisiken.

Überwachung der Einhaltung

Wazuh Docker automatisiert Prüfungen anhand von Branchenstandards wie DSGVO, HIPAA und PCI DSS. Es liefert außerdem umfassende Berichte, was die Durchführung von Audits erleichtert und die Einhaltung regulatorischer Standards durch eine Organisation sicherstellt.

Anpassbare Regeln

Wazuh Docker ermöglicht es Organisationen, benutzerdefinierte Sicherheitsregeln zu definieren und so Bedrohungserkennungs- und Compliance-Richtlinien auf ihre spezifischen Bedürfnisse zuzuschneiden. Diese Flexibilität gewährleistet, dass sich die Plattform an individuelle betriebliche Herausforderungen und Sicherheitsziele anpassen kann.

Webbasierte Dashboard

Kibana ist in Wazuh Docker integriert und bietet ein leistungsstarkes webbasiertes Dashboard zur Anzeige von Warnungen, Protokollen und Trends. Dank einer intuitiven Benutzeroberfläche können Anwender Daten analysieren, Sicherheitsereignisse überwachen und auf einfache Weise benutzerdefinierte Ansichten erstellen.

Nahtlose Integration

Wazuh Docker integriert sich nahtlos in Tools von Drittanbietern und Cloud-Dienste und ermöglicht so komplexe Arbeitsabläufe und die gemeinsame Nutzung von Daten. Interoperabilität erhöht somit ihren Nutzen als Teil eines globalen Sicherheitssystems.

Durch die Integration von IronSecureDoc mit Wazuh wird die allgemeine Sicherheitslage gestärkt, indem die Dokumentensicherheitsüberwachung mit robusten Funktionen zur Bedrohungserkennung und zum Compliance-Management kombiniert wird. Dadurch können Sie dokumentenbezogene Aktivitäten überwachen, Regeln zur Anomalieerkennung bei der Dokumentenverarbeitung festlegen und Compliance-Regeln durchsetzen. Hier erfahren Sie, wie Sie IronSecureDoc in Ihre Bereitstellung mit einem Wazuh-Manager integrieren.

Protokollüberwachung einrichten

Die Protokollüberwachung umfasst die Konfiguration des Systems zur Erfassung und Analyse von Protokolldaten aus verschiedenen Quellen. Dieser Prozess hilft dabei, Anomalien zu erkennen und potenzielle Bedrohungen aufzudecken, während gleichzeitig die Einhaltung der Vorschriften sichergestellt wird. Zuerst sollten Sie die Protokolldateien oder Verzeichnisse identifizieren, die Sie überwachen möchten, z. B. Anwendungsprotokolle, Systemprotokolle oder Protokolle von Drittanbietertools wie IronSecureDoc.

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

Bearbeiten Sie anschließend die Wazuh-Konfigurationsdatei ossec.conf auf den Wazuh-Agent- oder Manager-Knoten. Füge ein<localfile> Eintrag für die Protokollquelle. Definieren Sie das Protokollformat, z. B. syslog, und geben Sie den Dateipfad oder Speicherort an, an dem die Protokolle gespeichert werden. Nach der Bearbeitung muss der Wazuh-Agent oder -Manager neu gestartet werden, um die Änderungen anzuwenden. Wazuh überwacht anschließend die Protokolle, korreliert Ereignisse mit seinen integrierten Regeln oder benutzerdefinierten Regeln und sendet Warnungen bei verdächtigen Aktivitäten oder Verstößen gegen die Compliance-Vorgaben.

Starten Sie den Wazuh-Agenten neu, um die Änderungen anzuwenden:

systemctl restart wazuh-agent

systemctl restart wazuh-agent

Diese Konfiguration stellt sicher, dass Wazuh alle relevanten Log-Ereignisse erfasst und verarbeitet. Nachfolgend finden Sie einen vom Wazuh-Manager aufgenommenen Screenshot und ein Protokoll der Aktivitäten, einschließlich IronSecureDoc.

Wazuh Docker Compose (So funktioniert es für Entwickler): Abbildung 9 – Wazuh-Agent

Integrieren Sie die IronSecureDoc-API

Für eine erweiterte Integration verwenden Sie die IronSecureDoc API (sofern verfügbar), damit das Wazuh-Repository Sicherheitsereignisse auf Dokumentebene abruft. Schreiben Sie ein benutzerdefiniertes Skript, um diese Ereignisse abzurufen und an Wazuh zu übermitteln. Hier ist ein Beispiel für eine Python-Implementierung:

import requests

# API URLs for interaction
iron_api_url = "http://localhost:8080/v1/document-services/ping"
wazuh_api_url = "http://wazuh-manager:55000/alerts"

# API authentication headers
headers = {'Authorization': 'Bearer YOUR_API_KEY'}

# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()

# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

import requests

# API URLs for interaction
iron_api_url = "http://localhost:8080/v1/document-services/ping"
wazuh_api_url = "http://wazuh-manager:55000/alerts"

# API authentication headers
headers = {'Authorization': 'Bearer YOUR_API_KEY'}

# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()

# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

Führen Sie dieses Skript regelmäßig aus (z. B. als Cronjob), um Wazuh mit den neuesten Dokumentensicherheitsereignissen auf dem Laufenden zu halten. Das Skript verwendet Standard-HTTP-Anfragen zur Kommunikation mit der IronSecureDoc-API und sendet entsprechende Warnmeldungen an Wazuh. Weitere Informationen zur Wazuh-API-Dokumentation finden Sie auf der API-Seite .

Wazuh Docker Compose (So funktioniert es für Entwickler): Abbildung 10 – Wazuh-Skript