Let's talk about Wazuh

Olá, terráqueo! Nesse episódio, lhes trago um breve artigo sobre o Wazuh, um XDR que parece SIEM, que parece XDR. Enfim, vamos lá!

O que é o Wazuh?

O Wazuh é uma plataforma open source para detecção de ameaças, análise de logs, monitoramento de integridade de arquivos e resposta a incidentes. Ele nasceu como um fork do antigo OSSEC, mas evoluiu tanto que hoje é uma solução robusta e cheia de funcionalidades.

Principais recursos

  • Detecção de ameaças - Com um conjunto de regras personalizáveis, o Wazuh pode detectar comportamentos suspeitos e emitir alertas baseados no framework MITRE ATT&CK.

  • Monitoramento de integridade de arquivos (FIM) - Se alguém modificar arquivos críticos do sistema, como configurações ou binários importantes, você será notificado. Esse recurso é essencial para detectar ataques persistentes (APT) e atividades maliciosas.

  • Análise de logs - O Wazuh pode coletar e analisar logs de praticamente qualquer sistema, desde firewalls até servidores web, ajudando a identificar atividades suspeitas e padrões de ataque.

  • Controle de conformidade - Se sua empresa precisa seguir normas como PCI-DSS, GDPR ou ISO 27001, o Wazuh pode te ajudar, verificando se as configurações e práticas estão em conformidade com os requisitos de segurança.

  • Resposta a incidentes - A integração com SOARs - como o Shuffle - permite automatizar respostas, como bloquear um IP malicioso, isolar um endpoint comprometido ou acionar um analista para investigar.

Funcionalidades

Obs.: As funcionalidades descritas aqui foram levantadas com base na data desse artigo - 4 de fevereiro de 2025.

  • Regras de detecção - Com um conjunto de regras personalizáveis, o Wazuh pode detectar comportamentos suspeitos e emitir alertas baseados no framework MITRE ATT&CK.

  • Monitoramento de integridade de arquivos (FIM) - Se alguém modificar arquivos críticos do sistema, como configurações ou binários importantes, você será notificado. Esse recurso é essencial para detectar ataques persistentes (APT) e atividades maliciosas.

  • Análise de logs (SIEM) - O Wazuh pode coletar e analisar logs de praticamente qualquer sistema, desde firewalls até servidores web, ajudando a identificar atividades suspeitas e padrões de ataque.

  • Controle de conformidade - Se sua empresa precisa seguir normas como PCI-DSS, GDPR ou ISO 27001, o Wazuh pode te ajudar, verificando se as configurações e práticas estão em conformidade com os requisitos de segurança.

  • Resposta a incidentes - A integração com SOARs como o Shuffle permite automatizar respostas, como bloquear um IP malicioso, isolar um endpoint comprometido ou acionar um analista para investigar.

Beleza, mas como tudo isso se conecta ao mundo real e às nossas necessidades? Vamos ver alguns cases práticos sobre essas funcionalidades mais abaixo.

[...]

PreviousIntrodução ao Threat HuntingNextLet's talk about Mimikatz

Last updated