[Wazuh] 통합 보안 모니터링 오픈소스

티스토리 뷰

Devops 1회차/wazuh

[Wazuh] 통합 보안 모니터링 오픈소스 - 1

SOO_JUNE 2021. 8. 1. 12:12

WAZUH는 개별 호스트 보안을 위한 오픈소스이다. 통합 Security 관제 툴이라고 보면 될 듯 하다. WZAUH는 무료이며 로그에 대한 모니터링 부터 안티멀웨어, 취약점 점검 등 대부분의 컴플라이언스가 요구하는 다양한 요구조건을 만족한다. 해당 페이지에서는 WAZUH를 사용하기 전에 어떤 종류와 어떤 방식이 있고 우리 환경에 따라 어떻게 구성해야 되는지에 대한 생각의 흐름을 정리한다.

어떤 원리와 구성인가?

Wazuh는 동작을 완성시키기 위하여 Elasticsearch와 Kibana, Wazuh Cluster를 활용하게 된다.
이들은 정해진 룰에 의한 데이터를 정리하고, 이를 디스플레이로 사용자들에게 제공한다.
각 서버에 설치된 agent는 매니저 서버와 통신을 하며 수집되는 데이터를 전송한다.

출처: https://documentation.wazuh.com/current/getting-started/architecture.html

Elasticsearch: 인덱스에 따라 R/W를 수행하는 각 노드들의 데이터 집합
oseec: 호스트 기반 침입탐지 시스템
Filebeath: Wazuh 알림 전송 or events 기록 (TLS encryption 사용)
Wazuh Server: Filebeat를 활용하여 alert와 event data를 Elasticsearch 로 전달한다.(TLS)
Kibana: Wazuh Server에 수집된 정보들을 시각화 해준다.
Wazuh agent: 각 agent에서 발생하는 이벤트를 Wazuh server로 지속적으로 전달. message 프로토콜은 AES encryption을 기본으로 사용한다.
- /var/ossec/logs/archives/archives.json rule과 상관없이 모든 이벤트를 포함
- /var/ossec/logs/alerts/alerts.json rule에 의해 걸러지고 알림이 갈 수준의 데이터만 로깅
통신포트
출처: https://documentation.wazuh.com/current/getting-started/architecture.html
통신포트 구성도

어떤 구성에 대한 선택을 할 수 있는가?

agent가 많으면 많을수록 통신하는 데이터의 양도 늘어나기 마련이다.
이렇게 늘어나면 당연히 Wazuh Server에는 많은 부하가 발생할 수 있다.
우리의 서비스에 대한 이해를 바탕으로 어떤 형식으로 구성하는게 좋을지 방안을 마련한다.
위에서 살펴본 것처럼 여러개의 프로세스가 하나의 목적을 위해 동작해야 한다.
부하때문에 이들은 서로 각기 다른 서버에 생성될 수도 있고, 하나의 서버에서 manager의 역할을 모두 수행할 수도 있다.

여기서 전자를 'Distribugted deployment'라고 한다면 후자를 'All in one deployment'라고 해본다. 나는 이들을 '모듈구성'과 '통합구성'으로 일컫도록 한다. https://documentation.wazuh.com/current/installation-guide/requirements.html 위의 공식문서에 따르면 통합구성은 약 100개의 에이전트 미만이라면 주로 통합구성의 사용도 괜찮다고 한다.

통합구성
- 최소사양: 2CPU/ 4GB RAM
- 추천사양: 8CPU/ 16GB RAM
- Disk: APS(Alerts Per Seconds)에 따라 다름
- 구성도
  출처: https://documentation.wazuh.com/current/installation-guide/open-distro/all-in-one-deployment/index.html
모듈구성
- Wazuh Server와 Elastic Stack 이 별도의 환경에 구성된다.
- 사양
- Disk
- 구성도
  출처: https://documentation.wazuh.com/current/installation-guide/open-distro/all-in-one-deployment/index.html