1. Tổng quan về Wazuh
Wazuh là một nền tảng bảo mật cung cấp bảo vệ hợp nhất các khả năng của XDR và SIEM thống nhất cho các điểm cuối trên các môi trường tại chỗ, ảo hóa, và khối lượng công việc trên các đám mây. 
Wazuh là phần mềm miễn phí và mã nguồn mở với các chức năng security detection, visibility và compliance monitoring. Các thành phần của nó tuân thủ theo giấy phép công cộng GNU, phiên bản 2 và giấy phép Apache, phiên bản 2.0 (ALv2). Wazuh ban đầu được phát triển dựa trên OSSEC HIDS và sau đó được tích hợp thêm Elastic Stack cùng với OpenSCAP để trở thành một giải pháp an ninh toàn diện.
Các giải pháp triển khai
Wazuh là một nền tảng bảo mật cung cấp bảo vệ XDR và SIEM thống nhất cho các điểm cuối và khối lượng công việc đám mây. Giải pháp bao gồm một tác nhân chung duy nhất và ba thành phần trung tâm: Wazuh server, Wazuh indexer và Wazuh dashboard. Wazuh cung cấp nhiều giải pháp triển khai linh hoạt, phù hợp với các môi trường khác nhau
Triển khai đơn lẻ - Single-node :
- Tất cả các thành phần của Wazuh (Wazuh Server, Wazuh Indexer, Wazuh Dashboard) được cài đặt trên cùng một máy chủ.
- Phù hợp với hệ thống nhỏ hoặc thử nghiệm, nơi hiệu năng và dung lượng không phải là mối lo ngại lớn.
- Cách triển khai này đơn giản và dễ quản lý nhưng không hỗ trợ tốt về khả năng mở rộng hoặc dự phòng khi có sự cố
Triển khai phân tán - Distributed :
- Các thành phần chính của Wazuh được triển khai trên các máy chủ riêng biệt (ví dụ: một máy cho Wazuh Server, một máy cho Wazuh Indexer, và một máy cho Wazuh Dashboard).
- Thích hợp cho các hệ thống vừa và lớn, nơi có yêu cầu về hiệu năng và khả năng mở rộng.
- Ưu điểm là tăng cường khả năng xử lý, dễ bảo trì và nâng cấp từng thành phần mà không ảnh hưởng đến hệ thống toàn bộ.
Triển khai cụm:
- Sử dụng cụm (cluster) để triển khai Wazuh Server hoặc Wazuh Indexer nhằm tăng cường khả năng chịu lỗi và đảm bảo tính sẵn sàng cao.
- Phù hợp với các tổ chức lớn hoặc các môi trường yêu cầu hệ thống không bị gián đoạn ngay cả khi có sự cố phần cứng hoặc phần mềm.
- Cách triển khai này đòi hỏi kiến thức về cân bằng tải và cấu hình cụm, nhưng mang lại hiệu năng và độ tin cậy vượt trội.
Triển khai trên đám mây:
- Triển khai Wazuh trên các nền tảng đám mây như AWS, Azure, hoặc Google Cloud.
- Phương pháp này linh hoạt, cho phép tổ chức tận dụng tài nguyên theo nhu cầu thực tế mà không cần đầu tư hạ tầng vật lý.
- Đặc biệt hữu ích với các doanh nghiệp có xu hướng sử dụng các giải pháp phần mềm dạng dịch vụ (SaaS).
Các thành phần chính của Wazuh
Giải pháp Wazuh dựa trên Wazuh agent, được triển khai trên các điểm cuối được giám sát và trên ba thành phần trung tâm: Wazuh server, Wazuh indexer và Wazuh dashboard
- Wazuh indexer là một công cụ tìm kiếm và phân tích toàn văn có khả năng mở rộng cao. Thành phần trung tâm này lập chỉ mục và lưu trữ các cảnh báo do máy chủ Wazuh tạo ra.
- Wazuh server phân tích dữ liệu nhận được từ các tác nhân. Nó xử lý dữ liệu thông qua bộ giải mã và quy tắc, sử dụng trí thông minh đe dọa để tìm kiếm các chỉ số xâm phạm (IOC) đã biết. Một máy chủ duy nhất có thể phân tích dữ liệu từ hàng trăm hoặc hàng nghìn tác nhân và mở rộng theo chiều ngang khi được thiết lập thành một cụm. Thành phần trung tâm này cũng được sử dụng để quản lý các tác nhân, cấu hình và nâng cấp chúng từ xa khi cần thiết.
- Wazuh dashboard là giao diện người dùng web để trực quan hóa và phân tích dữ liệu. Nó bao gồm các bảng điều khiển có sẵn để săn tìm mối đe dọa, tuân thủ quy định (ví dụ: PCI DSS, GDPR, CIS, HIPAA, NIST 800-53), phát hiện các ứng dụng dễ bị tấn công, dữ liệu giám sát tính toàn vẹn của tệp, kết quả đánh giá cấu hình, sự kiện giám sát cơ sở hạ tầng đám mây và các mục khác. Nó cũng được sử dụng để quản lý cấu hình Wazuh và theo dõi trạng thái của nó.
- Wazuh agent được cài đặt trên các điểm cuối như máy tính xách tay, máy tính để bàn, máy chủ, phiên bản đám mây hoặc máy ảo. Chúng cung cấp khả năng ngăn ngừa, phát hiện và phản hồi mối đe dọa. Chúng chạy trên các hệ điều hành như Linux, Windows, macOS, Solaris, AIX và HP-UX
Các chức năng chính của wazuh
Hiện tại waxuh có 12 chức năng chính
Thông tin chi tiết về các chức năng https://documentation.wazuh.com/current/getting-started/use-cases/index.html
2. Triển khai quản lý, giám sát với Wazuh
Thêm agent Ubuntu
Đăng nhập vào Wazuh, chọn đến Endpoints -> Deploy new agent xong chọn DEB amd64 và nhập địa chỉ IP của Wazuh server, tên của máy agent: Ubuntu-agent
Chạy các lệnh cài đặt trên máy Ubuntu agent
Quay lại kiểm tra trên máy Wazuh server thấy Ubuntu agent đã được thêm
Thêm agent Windows
Đăng nhập vào Wazuh, chọn đến Endpoints -> Deploy new agent xong chọn MSI 32,64 bit và nhập địa chỉ IP của Wazuh server, tên của máy agent: Windows-agent
Chạy các lệnh cài đặt trên máy Windows agent
Quay lại kiểm tra trên máy Wazuh server thấy Windows agent đã được thêm
2.1. Kịch bản 1: Quét và phát hiện lỗ hổng bảo mật trên agent
Mô hình
Chuẩn bị 2 máy Ubuntu:
- 1 máy Ubuntu dùng làm Wazuh Server
- 1 máy Ubuntu dùng làm agent
Triển khai
Để triển khai Vulnerability detection chúng ta cần kiểm tra tệp ossec.conf tại /var/ossec/etc/ossec.conf để xem cấu hình của mô-đun có sẵn
Kiểm tra xem mô-đun phát hiện lỗ hổng đã được kích hoạt chưa nếu <enabled>yes</enabled> là đã được kích hoạt
Sau đó cần khởi động lại trình quản lý Wazuh bằng câu lệnh systemctl restart wazuh-manager
Dưới đây là kết quả sau khi quét lỗ hổng:
2.2 Kịch bản 2: Phát hiện và phản hồi tấn công Brute Force
Mô hình
Chuẩn bị 3 máy: 3 máy Ubuntu
- 1 máy Ubuntu dùng làm Wazuh Server
- 1 máy Ubuntu dùng làm agent
- 1 máy Ubuntu dùng làm attacker để thực hiện tấn công
Triển khai
Phát hiện
Trên máy attacker cài đặt hydra, tạo một tệp văn bản với 10 mật khẩu ngẫu nhiên password.txt. Dùng Hydra khởi chạy Brute force attack tấn công vào máy Ubuntu agent 
Xem kết quả giám sát được ở mô-đun threat hunting ở máy Wazuh server sau khi tấn công thành công
Phản hồi
Mở tệp /var/ossec/etc/ossec.conf đảm bảo rằng có khối được gọi là firewall-drop với cấu hình sau trong <ossec_config>
Giải thích :
- <name>: đặt tên cho lệnh, tromg trường hợp này là firewall-drop
- <executable>: chỉ định tập lệnh phản hổi hoặc tệp thực thi phải chạy khi có kích hoạt, trong tường hợp này là firewall-drop thực thi
- <timeout_allow>: cho phép thời gian chờ sau một khoảng thời gian
Thêm khối <active-response> với nội dung như bên dưới vào /var/ossec/etc/ossec.conf
Trong đó:
- <command>: chỉ tên lệnh để cấu hình
- <location>: chỉ nơi thực thi, local có nghĩa là thực thi trên điểm cuối được giám sát
- <rules_id>: mô-đun phản hồi thực thi quy tắc 5763 - SSHD
- <time_out>: mô-đun sẽ chặn trong 180 giây địa chỉ IP của điểm cuối thực hiện tấn công brute force
Nội dung rule 5763
Khởi động lại trình quản lý Wazuh bằng câu lệnh systemctl restart wazuh-manager để áp dụng các thay đổi
Từ máy Attacker ping thử kiểm tra kết nối đến máy Ubuntu-agent, dùng Hydra tấn công đến máy agent
Kiểm tra trên máy Wazuh-server thấy rule 5763 đã được kích hoạt
Trên máy Attacker thực hiện ping đến máy Ubuntu-agent trong vòng 3 phút sau khi thực hiện tấn công để đảm bảo mô-đun active response đã chặn ip của máy Attacker, như trong ảnh kết quả khi này là không ping được
2.3. Kịch bản 3: Giám sát và phát hiện thay đổi file - file integrity monitoring
Mô hình
Chuẩn bị 2 máy: 1 máy Ubuntu và 1 máy Windows 10
- Máy Ubuntu dùng làm Wazuh Server
- Máy Windows 10 dùng làm agent
Triển khai
Để triển khai chúng ta cần kiểm tra tệp ossec.conf tại /var/ossec/etc/ossec.conf để kiểm tra cấu hình của mô-đun có sẵn
Bật tính năng ghi log tất cả các sự kiện ở định dạng JSON:
Sau đó cần khởi động lại trình quản lý Wazuh bằng câu lệnh systemctl restart wazuh-manager để áp dụng các thay đổi
Kiểm tra mô-đun FIM trên máy Windows agent và sẽ thấy thẻ <disabled> đang được đặt là NO, nghĩa là nó đã được bật
Thêm dòng <directories>C:\Users\Public</directories> để định nghĩa thư mục C:\Users\Public là một khu vực được giám sát. Wazuh sẽ theo dõi tất cả các thay đổi (thêm, xóa, sửa) trong thư mục C:\Users\Public và các tệp bên trong nó.
Mở Servives lên và restart Wazuh. Thêm tệp có tên Hai Anh 2 vào 1 thư mục trong C:\Windows\System32
Sau đó vào FIM -> Windows-agent :
