Wazuh SIEM Cluster
Какие задачи решает
Wazuh SIEM Cluster обеспечивает централизованный мониторинг безопасности облачной инфраструктуры Yandex Cloud и подключенных хостов. Продукт решает следующие задачи:
- Обнаружение угроз безопасности в реальном времени: несанкционированный доступ, удаление критичных ресурсов, массовое изменение прав, подозрительная активность в управляемых базах данных
- Сбор и анализ событий аудита Yandex Cloud через интеграцию с Cloud Logging API
- Мониторинг целостности файлов, обнаружение вредоносного ПО, анализ уязвимостей на подключенных агентах
- Мониторинг здоровья самого кластера: состояние индексеров, синхронизация менеджеров, истечение TLS-сертификатов
Ключевые характеристики
Кластерная архитектура с высокой доступностью. Кластер состоит из 3 индексеров (OpenSearch), 1 мастер-менеджера, 1 дашборда и N воркер-менеджеров. Индексеры распределены по трем зонам доступности (ru-central1-a, ru-central1-b, ru-central1-d). Количество воркеров задается при развертывании и может быть изменено через Instance Group.
1274 правила обнаружения для 63 сервисов Yandex Cloud. Полное покрытие событий Control Plane и Data Plane: IAM, Compute Cloud, VPC, Object Storage, Managed Databases (ClickHouse, PostgreSQL, MySQL, MongoDB, Redis, Greenplum, Elasticsearch, OpenSearch, Kafka, YDB), Kubernetes, Cloud Functions, DataSphere, Certificate Manager, KMS, Lockbox, Smart Web Security и другие. Уровни severity назначены в соответствии со стандартом классификации Wazuh (0-15).
Интеграция с Cloud Logging и Audit Trails. Встроенный модуль (wodle) собирает события аудита из лог-группы Cloud Logging с интервалом 1 минута. События дедуплицируются через локальную базу данных и передаются в аналитический движок Wazuh для сопоставления с правилами.
Корреляционные правила. Три правила для обнаружения сложных паттернов атак: массовое изменение привязок доступа, множественные операции удаления за короткий период, повторные попытки несанкционированного доступа (brute-force).
Мониторинг TLS-сертификатов. Wodle cert-check ежедневно проверяет сроки истечения TLS-сертификатов на менеджерах и воркерах. Предупреждения генерируются за 30, 14 и 7 дней до истечения.
Преимущества
- Готовый к работе кластер за 8-9 минут: все компоненты настраиваются автоматически
- Правила обнаружения охватывают все основные сервисы Yandex Cloud, включая управляемые базы данных, serverless-платформу, AI/ML сервисы
- Масштабирование: количество воркер-менеджеров изменяется через Instance Group без пересоздания кластера
Предварительная подготовка
-
Создайте сеть Yandex Virtual Private Cloud и три подсети в зонах доступности ru-central1-a, ru-central1-b и ru-central1-d. Также вы можете по желанию использовать существующие. Все подсети должны принадлежать одной сети VPC.
-
Создайте секрет Yandex Lockbox с паролем для администратора:
yc lockbox secret create \
--name admin-password \
--payload "[{\"key\": \"password\", \"text_value\": \"YOUR_ADMIN_PASSWORD\"}]"
Внимание: используйте надежные пароли. Минимальная длина — 9 символов.
-
Убедитесь что у вас есть SSH-ключ для доступа к ВМ.
-
Убедитесь что создана лог-группа Cloud Logging с событиями аудита для интеграции с Audit Trails.
Установка
- В консоли управления выберите каталог, в котором хотите развернуть приложение.
- Перейдите в сервис Cloud Apps.
- На панели слева выберите Магазин приложений.
- Выберите Wazuh и нажмите кнопку Использовать.
- Укажите:
- Префикс для именования ресурсов
- Подсеть VPC в зоне ru-central1-a
- Подсеть VPC в зоне ru-central1-b
- Подсеть VPC в зоне ru-central1-d
- Секрет Lockbox с паролем администратора Wazuh
- Публичный SSH-ключ
- Количество рабочих узлов менеджера (минимум: 1)
- ID лог-группы Yandex Cloud Logging для аудита
- Выберите Тип окружения
Доступ к дашборду
После завершения развертывания (8-9 минут):
- Откройте консоль Yandex Cloud, перейдите в Compute Cloud.
- Найдите ВМ
dashboardи скопируйте публичный IP-адрес. - Откройте
https://<dashboard-ip>в браузере, примите предупреждение о самоподписанном сертификате. - Войдите с логином
adminи паролем из секрета Lockbox.
- Анализ безопасности облачных ресурсов, в том числе контейнеров.
- Обнаружение вторжений.
- Поиск уязвимостей.
- Анализ журналов.
- Мониторинг файлов.
- Оценка конфигурации системы.
- Реагирование на инциденты безопасности.
- Проверка соответствия стандартам безопасности.
- Анализ событий безопасности в Yandex Cloud.
OpenNix осуществляет техническую поддержку пользователей Wazuh в Yandex Cloud. Вы можете связаться с технической поддержкой по электронной почте support@opennix.ru. Время работы технической поддержки с 9:00 до 18:00 (МСК) по рабочим дням.
| Тип ресурса | Количество |
|---|---|
| Пользователи каталога | 8 |
| Секрет Lockbox | 1 |
| Виртуальные машины | 5 |
| Группа виртуальных машин | 1 |
| Сервисный аккаунт | 1 |