Wazuh Docker Compose (開發人員如何使用)

容器化部署

Wazuh Docker 利用 Docker 技術將其所有元件（如 Wazuh Manager、Elasticsearch 和 Kibana）打包到預先建置的、可直接使用的容器中。 這種容器化架構使得 Wazuh 可以輕鬆部署到任何地方，確保跨環境的一致性，並降低平台設定和維護的複雜性。

可擴展性

Wazuh Docker 專為動態環境而設計，並允許各個元件獨立擴展。 例如，隨著監控資料量的增加，使用者可以擴展 Elasticsearch 節點來處理工作負載，從而確保大規模部署中的高效效能。

可移植性

Wazuh 的 Docker 架構確保它可以部署在本機、雲端服務或容器編排平台（如 Kubernetes）上。 其便攜性確保了與多種基礎設施的兼容性，使組織能夠根據其獨特的營運需求進行調整。

管理簡化

Wazuh Docker 利用 Docker Compose 簡化元件編排。 啟動、停止和管理 Wazuh 堆疊原本很複雜的任務變得更加簡單； 管理負擔減輕，即使是不太專業的使用者也能輕鬆處理任務。

日誌分析

Wazuh Docker 可以聚合和關聯來自任何來源（無論是伺服器、應用程式還是裝置）的日誌。 它透過提供即時日誌關聯，幫助組織檢測和應對安全事件。

威脅偵測

Wazuh Docker 利用內建規則和可自訂配置來識別受監控端點中的威脅、漏洞和可疑活動。 這可以加強組織機構對安全風險的主動防禦能力。

合規性監控

Wazuh Docker 可自動檢查是否符合 GDPR、HIPAA 和 PCI DSS 等業界標準。 它還提供全面的報告，使審計更容易，並確保組織符合監管標準。

可自訂規則

Wazuh Docker 允許組織定義自訂安全規則，從而實現根據其特定需求量身定制的威脅偵測和合規策略。 這種靈活性確保了該平台能夠適應獨特的營運挑戰和安全目標。

基於網頁的儀表板

Kibana 與 Wazuh Docker 集成，提供強大的基於 Web 的儀表板，用於查看警報、日誌和趨勢。 它擁有直覺的介面，使用戶能夠輕鬆地分析資料、監控安全事件並建立自訂視圖。

無縫集成

Wazuh Docker 可與第三方工具和雲端服務無縫集成，從而實現複雜的工作流程和資料共享。 因此，互通性提高了其作為全球安全系統一部分的效用。

將 IronSecureDoc 與 Wazuh 集成，可增強整體安全態勢，將文件安全監控與強大的威脅偵測和合規性管理功能結合。 因此，您可以監控與文件相關的活動，建立文件處理的異常檢測規則，並強制執行合規性規則。 以下是如何在部署中將 IronSecureDoc 與 Wazuh 管理器整合的方法。

設定日誌監控

日誌監控涉及對系統進行配置，以收集和分析來自各種來源的日誌資料。 此流程有助於識別異常情況並揭示潛在威脅，同時確保合規性。 首先，確定要監控的日誌檔案或目錄，例如應用程式日誌、系統日誌或任何第三方工具日誌，如 IronSecureDoc。

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

接下來，在 Wazuh 代理程式或管理器節點上編輯 Wazuh 設定檔ossec.conf 。 添加一個<localfile>日誌來源條目。 定義日誌格式，例如 syslog，並指定日誌檔案的儲存路徑或位置。 編輯完成後，請重新啟動 Wazuh 代理程式或管理員以套用變更。 Wazuh 隨後會監控日誌，將事件與其內建規則或使用者定義的規則關聯起來，並對可疑活動或違規行為發出警報。

重新啟動 Wazuh 代理程式以套用變更：

systemctl restart wazuh-agent

systemctl restart wazuh-agent

此設定可確保 Wazuh 擷取和處理所有相關的日誌事件。 以下是由 Wazuh 管理員截取的螢幕截圖和活動日誌，其中包括 IronSecureDoc。

Wazuh Docker Compose（開發者使用指南）：圖 9 - Wazuh Agent

整合 IronSecureDoc 的 API

對於高級集成，可以使用 IronSecureDoc API（如果可存取）讓 Wazuh 儲存庫在文件層級拉取安全事件。 編寫自訂腳本來檢索這些事件並將其提交給 Wazuh。 以下是一個 Python 實作範例：

import requests

# API URLs for interaction
iron_api_url = "http://localhost:8080/v1/document-services/ping"
wazuh_api_url = "http://wazuh-manager:55000/alerts"

# API authentication headers
headers = {'Authorization': 'Bearer YOUR_API_KEY'}

# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()

# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

import requests

# API URLs for interaction
iron_api_url = "http://localhost:8080/v1/document-services/ping"
wazuh_api_url = "http://wazuh-manager:55000/alerts"

# API authentication headers
headers = {'Authorization': 'Bearer YOUR_API_KEY'}

# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()

# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

定期執行此腳本（例如，作為 cron 作業）以使 Wazuh 保持最新文件安全事件。 該腳本使用標準 HTTP 請求與 IronSecureDoc API 通信，並將相應的警報發送到 Wazuh。 要了解有關 Wazuh API 文件的更多信息，請參閱API 頁面。

Wazuh Docker Compose（開發者使用方法）：圖 10 - Wazuh 腳本