Wazuh – Kibana interface

Published by Lello on

Dopo aver installato Wazuh e reso sicuro l’accesso alle API, vediamo ora l’interfaccia che ci permette di analizzare i dati inviati dagli agent e raccolti nel manager. 

Accedendo all’URL di Kibana, potremo aprire l’app di Wazuh cliccando sul logo relativo (segnato in rosso); come le altre dashboards di Kibana, quella di Wazuh presenta un summary con il numero di agents installati (distinti in attivi, disconnessi o mai connessi); in alto un menu che ci permette di navigare nelle varie sezioni.  Vediamole brevemente.

  • Overview

Questa è la sezione principale dell’app di Wazuh; fornisce una vista generale in cui è possibile visualizzare tutti gli avvisi attivati da un intervallo di tempo specificato. Esistono sezioni dedicate in cui è possibile trovare ulteriori dashboard e grafici per Security Information Management (Security events e Integrity monitor), Threat detection and response (Vulnerability), Auditing and policy monitoring (Policy monitoring e System auditing), Regulatory compliance (PCI DSS, HIPAA, GDPR, NIST 800-53)

    • Overview  – Security events

In questa scheda potremo vedere i dati relativi ad eventi di security accaduti sui dispositivi su cui è installato l’agent; verranno evidenziati anche le regole che hanno acceso l’evento, la descrizione con il relativo livello e quante volte è accaduto quell’evento.

    • Overview  – Integrity monitor

In questa scheda potremo vedere i dati relativi alle modifiche avvenute sui file systems che controlliamo tramite Wazuh. Potremo vedere i file/directory modificati/cancellati ed anche l’utente che ha effettuato l’operazione.

    • Overview  – Security events

Qui viene rappresentato il report relativo alle vulnerabilità analizzare dagli agent; vengono incrociati i dati con i dati CVE e presentati in base alle loro vulnerabilità. Le vulnerabilità sono categorizzate in base alla severity (Low, Medium, High, Critical), al dettaglio della vulnerabilità, il riferimento alla pagina CVE (con relativo codice) e quante volte è stata analizzata.

 

  • Management

Qui troviamo la gestione delle regole e dei decodificatori che Wazuh sta applicando, le configurazioni locali e centralizzate, i log del server, i report e lo stato del cluster.

  • Agents

In questa dashboard troviamo il riepilogo degli agents; in particolare ilo loro stato, i relativi avvisi, la configurazione del gruppo, le informazioni sull’hardware, ecc.

  • Dev_Tools

in questa sezione troviamo un’interfaccia per interagire con le API di Wazuh; è possibile interagire tramite PUT/GET direttamente con le API.

Vediamo ora come utilizzare Wazuh  per testare le vulnerabilità dei nostri sistemi.

← Wazuh – Securing the API

Wazuh – Vulnerability detection →

Categories: LinuxSecurityTechnology
Tags:

Related Posts

RedHat - AlmaLinux - Rocky
Cultura

RedHat blocca l’accesso ai sorgenti di RHEL

Con un comunicato del 21 Giugno a firma del suo vicepresidente Mike McGrath, RedHat blocca l’accesso ai sorgenti di RHEL a terzi. Il codice sorgente verrà reso disponibile, tramite il RedHat Customer Portal, solo per Read more…

information security
Cultura

… e 100.000 !!!

Sono passati circa 2 anni da quando ho iniziato a comunicare quasi per gioco ad AbuseIPDB gli indirizzi IP che cercano di effettuare tentativi fraudolenti verso alcuni server (circa una ventina, non critici) che gestisco Read more…

Apache Guacamole
Linux

Apache Guacamole – Database

Espandiamo le capacità di Apache Guacamole utilizzando come back-end di autenticazione un Database Server. In questo post utilizziamo come back-end MySQL/MariaDB. Apache Guacamole supporta diversi database: MySQL, MariaDB, PostgreSQL, MS SQL Server o altri tramite Read more…