Wazuh 代理会扫描受监控的系统以查找恶意软件、rootkit 和可疑异常。它们可以检测隐藏文件、隐藏的进程或未注册的网络侦听器，以及系统调用响应中的不一致。

除了代理功能外，服务器组件还使用基于签名的方法进行入侵检测，使用其正则表达式引擎分析收集的日志数据并寻找危害指标。

日志数据分析

Wazuh 代理读取操作系统和应用程序日志，并将它们安全地转发到中央管理器以进行基于规则的分析和存储。当没有部署代理时，服务器也可以通过系统日志从网络设备或应用程序接收数据。

Wazuh 规则帮助您了解应用程序或系统错误、错误配置、企图和/或成功的恶意活动、违反政策以及各种其他安全和操作问题。

文件完整性监控

Wazuh 监控文件系统，识别您需要关注的文件内容、权限、所有权和属性的变化。此外，它还能识别用于创建或修改文件的用户和应用程序。

文件完整性监控功能可以与威胁情报结合使用，以识别威胁或受感染的主机。此外，一些法规遵从性标准（例如 PCI DSS）也需要它。

漏洞检测

Wazuh 代理提取软件清单数据并将此信息发送到服务器，在服务器上它与不断更新的 CVE（常见漏洞和暴露）数据库相关联，以识别众所周知的易受攻击的软件。

自动漏洞评估可帮助您找到关键资产中的薄弱环节，并在攻击者利用它们破坏您的业务或窃取机密数据之前采取纠正措施。

配置评估

Wazuh 监控系统和应用程序配置设置，以确保它们符合您的安全策略、标准和/或强化指南。代理执行定期扫描以检测已知易受攻击、未打补丁或配置不安全的应用程序。

此外，还可以自定义配置检查，调整它们以与您的组织正确对齐。警报包括有关更好配置的建议、参考和符合法规的映射。

事件响应

Wazuh 提供开箱即用的主动响应以执行各种反制措施来应对主动威胁，例如在满足特定条件时阻止威胁源对系统的访问。

此外，Wazuh 还可用于远程运行命令或系统查询、识别危害指标 (IOC) 并帮助执行其他实时取证或事件响应任务。

合规性

Wazuh 提供了一些必要的安全控制，以符合行业标准和法规。这些功能与其可扩展性和多平台支持相结合，可帮助组织满足技术合规性要求。

Wazuh 被支付处理公司和金融机构广泛使用，以满足 PCI DSS（支付卡行业数据安全标准）的要求。其 Web 用户界面提供的报告和仪表板可帮助遵守此法规和其他法规（例如 GPG13 或 GDPR）。

云安全

Wazuh 使用能够从知名云提供商（如亚马逊 AWS、Azure 或谷歌云）提取安全数据的集成模块，帮助在 API 级别监控云基础设施。此外，Wazuh 提供规则来评估您的云环境配置，轻松发现弱点。

此外，Wazuh 轻量级和多平台代理通常用于在实例级别监控云环境。

容器安全

Wazuh 提供对 Docker 主机和容器的安全可见性，监控它们的行为并检测威胁、漏洞和异常。Wazuh 代理与 Docker 引擎原生集成，允许用户监控图像、卷、网络设置和正在运行的容器。

Wazuh 持续收集和分析详细的运行时信息。例如，对以特权模式运行的容器、易受攻击的应用程序、容器中运行的 shell、持久卷或图像的更改以及其他可能的威胁发出警报。

用户界面

Wazuh WUI 为数据可视化和分析提供了强大的用户界面。此界面还可用于管理 Wazuh 配置并监控其状态。

模块概览

安全时间

完整性监控

漏洞检测

合规性

代理商概述

代理概要