Wazuh SIEM Cluster

Wazuh SIEM Cluster обеспечивает централизованный мониторинг безопасности облачной инфраструктуры Yandex Cloud и подключенных хостов. Продукт решает следующие задачи:

• Обнаружение угроз безопасности в реальном времени: несанкционированный доступ, удаление критичных ресурсов, массовое изменение прав, подозрительная активность в управляемых базах данных.
• Сбор и анализ событий аудита Yandex Cloud через интеграцию с API Cloud Logging.
• Мониторинг целостности файлов, обнаружение вредоносного ПО, анализ уязвимостей на подключенных агентах.
• Мониторинг здоровья кластера: состояние индексеров, синхронизация менеджеров, истечение TLS-сертификатов.

Ключевые характеристики

Кластерная архитектура с высокой доступностью. Кластер состоит из 3 индексеров (OpenSearch), 1 мастер-менеджера, 1 дашборда и N воркер-менеджеров. Индексеры распределены по трем зонам доступности (ru-central1-a, ru-central1-b, ru-central1-d). Количество воркеров задается при развертывании и может быть изменено через Instance Groups.

1274 правила обнаружения для 63 сервисов Yandex Cloud. Полное покрытие событий Control Plane и Data Plane: IAM, Compute Cloud, VPC, Object Storage, управляемые базы данных (Managed Service for ClickHouse^®, Managed Service for PostgreSQL, Managed Service for MySQL^®, Yandex StoreDoc, Yandex Managed Service for Valkey^™, Yandex MPP Analytics for PostgreSQL, Managed Service for OpenSearch, Managed Service for Apache Kafka^®, YDB), Managed Service for Kubernetes, Cloud Functions, DataSphere, Certificate Manager, KMS, Yandex Lockbox, Smart Web Security и другие. Уровни severity назначены в соответствии со стандартом классификации Wazuh (0–15).

Интеграция с Cloud Logging и Audit Trails. Встроенный модуль (wodle) собирает события аудита из лог-группы Cloud Logging с интервалом в 1 минуту. События дедуплицируются через локальную базу данных и передаются в аналитический движок Wazuh для сопоставления с правилами.

Корреляционные правила. Три правила для обнаружения сложных паттернов атак: массовое изменение привязок доступа, множественные операции удаления за короткий период, повторные попытки несанкционированного доступа (brute-force).

Мониторинг TLS-сертификатов. Wodle ежедневно проверяет сроки истечения TLS-сертификатов на менеджерах и воркерах. Предупреждения генерируются за 30, 14 и 7 дней до истечения.

Преимущества

• Готовый к работе кластер за 8–9 минут: все компоненты настраиваются автоматически.
• Правила обнаружения охватывают все основные сервисы Yandex Cloud, включая управляемые базы данных, serverless-платформу, AI/ML-сервисы.
• Масштабирование: количество воркер-менеджеров изменяется через Instance Groups без пересоздания кластера.

1. Создайте облачную сеть и три подсети — по одной в каждой зоне доступности: ru-central1-a, ru-central1-b и ru-central1-d.

2. Создайте секрет Yandex Lockbox с паролем для администратора.

   Требования к паролю:

   • Может содержать строчные и заглавные буквы латинского алфавита, цифры и специальные символы.
   • Не должен содержать только цифры.
   • Минимальная длина — 9 символов.

3. Создайте лог-группу Yandex Cloud Logging для событий аудита.

4. Получите пару SSH-ключей для подключения к ВМ.

5. Создайте приложение:

   1. В Marketplace найдите продукт Wazuh SIEM Cluster и нажмите Создать приложение.

   2. Укажите параметры:

      • Имя вашего экземпляра Wazuh SIEM Cluster.

      • Сервисный аккаунт, от имени которого будет происходить установка приложения. Сервисный аккаунт должен иметь роль admin на каталог.
        Чтобы сервисный аккаунт с необходимыми правами создался во время установки приложения, выберите Автоматически.

      • Префикс для именования ресурсов. По умолчанию wazuh.

      • Подсети в зонах ru-central1-a, ru-central1-b и ru-central1-d.

      • Секрет Yandex Lockbox с паролем администратора Wazuh.

      • Публичный SSH-ключ.

      • Количество рабочих узлов менеджера — минимум 1.

      • Идентификатор лог-группы для аудита.

      • Тип окружения — Development или Production.

   3. Нажмите Установить.

   4. В открывшемся окне подтвердите создание ресурсов.

      Дождитесь, когда все созданные ВМ перейдут в статус RUNNING.

6. Получите доступ к дашборду:

   1. В консоли управления перейдите в сервис Compute Cloud.
   2. Найдите ВМ с именем вида wazuh-d7fr1881dsfq********-dashboard и скопируйте публичный IP-адрес.
   3. Откройте https://<IP-адрес_ВМ_dashboard> в браузере, примите предупреждение о самоподписанном сертификате.
   4. На открывшейся странице укажите логин admin и пароль, который вы ранее сохранили в секрет Yandex Lockbox.

• Анализ безопасности облачных ресурсов, в том числе контейнеров.
• Обнаружение вторжений.
• Поиск уязвимостей.
• Анализ журналов.
• Мониторинг файлов.
• Оценка конфигурации системы.
• Реагирование на инциденты безопасности.
• Проверка соответствия стандартам безопасности.
• Анализ событий безопасности в Yandex Cloud.

OpenNix
OpenNix осуществляет техническую поддержку пользователей Wazuh в Yandex Cloud. Вы можете связаться с технической поддержкой по электронной почте support@opennix.ru. Время работы технической поддержки: с 9:00 до 18:00 (МСК) по рабочим дням.

Yandex Cloud
Yandex Cloud не предоставляет техническую поддержку продукта. При возникновении проблем обращайтесь к информационным ресурсам разработчика.