Wazuh Docker Compose (Como funciona para desenvolvedores)

Implantação Containerizada

Wazuh Docker utiliza tecnologia Docker para empacotar todos os seus componentes, como Wazuh Manager, Elasticsearch e Kibana, em contêineres pré-construídos e prontos para uso. Esta arquitetura containerizada torna simples implantar o Wazuh em qualquer lugar, garantindo consistência em todos os ambientes e reduzindo a complexidade de configuração e manutenção da plataforma.

Escalabilidade

Wazuh Docker é projetado para ambientes dinâmicos e permite que os componentes individuais escalem independentemente. Por exemplo, com aumento no volume de dados monitorados, os nós Elasticsearch podem ser escalados pelos usuários para lidar com a carga de trabalho e garantir desempenho eficiente em uma implantação de grande escala.

Portabilidade

A arquitetura Docker do Wazuh garante que ele possa ser implantado em máquinas locais, serviços de nuvem ou plataformas de orquestração de contêineres, como Kubernetes. Sua portabilidade garante compatibilidade com várias infraestruturas, permitindo que as organizações a adaptem a suas necessidades operacionais exclusivas.

Simplificação de Gerenciamento

Wazuh Docker simplifica a orquestração de componentes utilizando o Docker Compose. A tarefa de iniciar, parar e gerenciar a pilha Wazuh, que normalmente seria complexa, torna-se mais simples; o fardo administrativo é reduzido, permitindo que até usuários menos experientes lidem com as tarefas com mínima dificuldade.

Análise de Logs

Wazuh Docker agrega e correlaciona logs de qualquer fonte, sejam servidores, aplicações ou dispositivos. Isso ajuda as organizações a detectar e responder a incidentes de segurança oferecendo correlação de logs em tempo real.

Detecção de Ameaças

Wazuh Docker identifica ameaças, vulnerabilidades e atividades suspeitas nos endpoints monitorados usando regras internas e configurações personalizáveis. Isso fortalece a proteção proativa de uma organização contra riscos de segurança.

Monitoramento de Conformidade

Wazuh Docker automatiza verificações contra padrões da indústria, como GDPR, HIPAA e PCI DSS. Também fornece relatórios abrangentes, tornando a auditoria mais fácil e garantindo a conformidade da organização com os padrões regulatórios.

Regras Personalizáveis

Wazuh Docker permite que as organizações definam regras de segurança personalizadas, possibilitando a detecção de ameaças e políticas de conformidade adaptadas às suas necessidades específicas. Essa flexibilidade garante que a plataforma possa se adaptar a desafios operacionais únicos e metas de segurança.

Painel Baseado na Web

Kibana é integrado com Wazuh Docker, fornecendo um poderoso painel baseado na web para visualizar alertas, logs e tendências. Com uma interface intuitiva, permite que os usuários analisem dados, monitorem eventos de segurança e criem visualizações personalizadas com facilidade.

Integração Sem Costura

Wazuh Docker se integra perfeitamente com ferramentas de terceiros e serviços de nuvem, permitindo fluxos de trabalho elaborados e dados compartilhados. Assim, a interoperabilidade aumenta sua utilidade como parte de um sistema de segurança global.

A integração do IronSecureDoc com Wazuh fortalece a postura geral de segurança, combinando monitoramento de segurança de documentos com robustas capacidades de detecção de ameaças e gerenciamento de conformidade. Como resultado, é possível monitorar atividades relacionadas a documentos, estabelecer regras de detecção de anomalias para o manuseio de documentos e impor regras de conformidade. Aqui está como integrar o IronSecureDoc com um gerente do Wazuh em sua implantação.

Configurar Monitoramento de Logs

O monitoramento de logs envolve a configuração do sistema para coletar e analisar dados de log de várias fontes. Este processo ajuda a identificar anomalias e revela potenciais ameaças enquanto garante conformidade. Primeiramente, identifique os arquivos ou diretórios de log que deseja monitorar, como um log de aplicação, log do sistema ou qualquer log de ferramenta de terceiros, como o IronSecureDoc.

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

Em seguida, edite o arquivo de configuração do Wazuh, ossec.conf, nos nós do agente ou gerente do Wazuh. Adicione uma entrada <localfile> para a fonte de log. Defina o formato do log, como syslog, e especifique o caminho ou local do arquivo onde os logs estão armazenados. Após editar, reinicie o agente ou gerente do Wazuh para aplicar as mudanças. Wazuh irá então monitorar os logs, correlacionando eventos com suas regras embutidas ou definidas pelo usuário e enviando alertas para atividades suspeitas ou violações de conformidade.

Reinicie o agente do Wazuh para aplicar as mudanças:

systemctl restart wazuh-agent

systemctl restart wazuh-agent

Esta configuração garante que o Wazuh capture e processe todos os eventos de log relevantes. Abaixo está uma captura de tela capturada pelo gerente do Wazuh e um log da atividade, incluindo IronSecureDoc.

Integrar a API do IronSecureDoc

Para uma integração avançada, use a API do IronSecureDoc (se acessível) para que o repositório do Wazuh puxe eventos de segurança ao nível do documento. Escreva um script personalizado para recuperar esses eventos e enviá-los para o Wazuh. Aqui está uma implementação de exemplo em Python:

import requests

# API URLs for interaction
iron_api_url = "http://localhost:8080/v1/document-services/ping"
wazuh_api_url = "http://wazuh-manager:55000/alerts"

# API authentication headers
headers = {'Authorization': 'Bearer YOUR_API_KEY'}

# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()

# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

import requests

# API URLs for interaction
iron_api_url = "http://localhost:8080/v1/document-services/ping"
wazuh_api_url = "http://wazuh-manager:55000/alerts"

# API authentication headers
headers = {'Authorization': 'Bearer YOUR_API_KEY'}

# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()

# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

Execute este script periodicamente (por exemplo, como uma tarefa cron) para manter o Wazuh atualizado com os últimos eventos de segurança de documentos. O script usa requisições HTTP padrão para comunicar-se com a API do IronSecureDoc e enviar alertas correspondentes para o Wazuh. Para saber mais sobre a documentação da API do Wazuh, consulte a página da API.