Wazuh Docker Compose（开发者工具如何工作）

容器化部署

Wazuh Docker 利用 Docker 技术将其所有组件（如 Wazuh Manager、Elasticsearch 和 Kibana）打包到预构建的、可直接使用的容器中。 这种容器化架构使得 Wazuh 可以轻松部署到任何地方，确保跨环境的一致性，并降低平台设置和维护的复杂性。

可扩展性

Wazuh Docker 专为动态环境而设计，并允许各个组件独立扩展。 例如，随着监控数据量的增加，用户可以扩展 Elasticsearch 节点来处理工作负载，从而确保大规模部署中的高效性能。

可移植性

Wazuh 的 Docker 架构确保它可以部署在本地机器、云服务或容器编排平台（如 Kubernetes）上。 其便携性确保了与多种基础设施的兼容性，使组织能够根据其独特的运营需求进行调整。

管理简化

Wazuh Docker 利用 Docker Compose 简化组件编排。 启动、停止和管理 Wazuh 堆栈原本很复杂的任务变得更加简单； 管理负担减轻，即使是不太专业的用户也能轻松处理任务。

日志分析

Wazuh Docker 可以聚合和关联来自任何来源（无论是服务器、应用程序还是设备）的日志。 它通过提供实时日志关联，帮助组织检测和应对安全事件。

威胁检测

Wazuh Docker 利用内置规则和可自定义配置来识别受监控端点中的威胁、漏洞和可疑活动。 这可以加强组织机构对安全风险的主动防御能力。

合规性监控

Wazuh Docker 可自动检查是否符合 GDPR、HIPAA 和 PCI DSS 等行业标准。 它还提供全面的报告，使审计更容易，并确保组织符合监管标准。

可自定义规则

Wazuh Docker 允许组织定义自定义安全规则，从而实现根据其特定需求量身定制的威胁检测和合规策略。 这种灵活性确保了该平台能够适应独特的运营挑战和安全目标。

基于网页的仪表盘

Kibana 与 Wazuh Docker 集成，提供强大的基于 Web 的仪表板，用于查看警报、日志和趋势。 它拥有直观的界面，使用户能够轻松地分析数据、监控安全事件并创建自定义视图。

无缝集成

Wazuh Docker 可与第三方工具和云服务无缝集成，从而实现复杂的工作流程和数据共享。 因此，互操作性提高了其作为全球安全系统一部分的效用。

将 IronSecureDoc 与 Wazuh 集成，可增强整体安全态势，将文档安全监控与强大的威胁检测和合规性管理功能相结合。 因此，您可以监控与文档相关的活动，建立文档处理的异常检测规则，并强制执行合规性规则。 以下是如何在部署中将 IronSecureDoc 与 Wazuh 管理器集成的方法。

设置日志监控

日志监控涉及对系统进行配置，以收集和分析来自各种来源的日志数据。 该流程有助于识别异常情况并揭示潜在威胁，同时确保合规性。 首先，确定要监控的日志文件或目录，例如应用程序日志、系统日志或任何第三方工具日志，如 IronSecureDoc。

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

接下来，在 Wazuh 代理或管理器节点上编辑 Wazuh 配置文件ossec.conf 。 添加一个<localfile>日志源条目。 定义日志格式，例如 syslog，并指定日志文件的存储路径或位置。 编辑完成后，请重启 Wazuh 代理或管理器以应用更改。 Wazuh 随后会监控日志，将事件与其内置规则或用户定义的规则关联起来，并对可疑活动或违规行为发出警报。

重启 Wazuh 代理程序以应用更改：

systemctl restart wazuh-agent

systemctl restart wazuh-agent

此设置可确保 Wazuh 捕获和处理所有相关的日志事件。 下面是由 Wazuh 管理员截取的屏幕截图和活动日志，其中包括 IronSecureDoc。

Wazuh Docker Compose（开发者使用指南）：图 9 - Wazuh Agent

集成 IronSecureDoc 的 API

对于高级集成，可以使用 IronSecureDoc API（如果可访问）让 Wazuh 存储库在文档级别拉取安全事件。 编写自定义脚本来检索这些事件并将其提交给 Wazuh。 以下是一个 Python 实现示例：

import requests

# API URLs for interaction
iron_api_url = "http://localhost:8080/v1/document-services/ping"
wazuh_api_url = "http://wazuh-manager:55000/alerts"

# API authentication headers
headers = {'Authorization': 'Bearer YOUR_API_KEY'}

# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()

# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

import requests

# API URLs for interaction
iron_api_url = "http://localhost:8080/v1/document-services/ping"
wazuh_api_url = "http://wazuh-manager:55000/alerts"

# API authentication headers
headers = {'Authorization': 'Bearer YOUR_API_KEY'}

# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()

# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

定期运行此脚本（例如，作为 cron 作业）以使 Wazuh 保持最新文档安全事件。 该脚本使用标准 HTTP 请求与 IronSecureDoc API 通信，并将相应的警报发送到 Wazuh。 要了解有关 Wazuh API 文档的更多信息，请参阅API 页面。

Wazuh Docker Compose（开发者使用指南）：图 10 - Wazuh 脚本