پلتفرم Wazuh قابلیتهای XDR و SIEM را برای حفاظت از بارهای کاری ابر، کانتینر، و سرورها ارائه میدهد. این قابلیتها شامل تحلیل دادههای لاگ، شناسایی نفوذ و بدافزار، نظارت بر تمامیت فایلها، ارزیابی پیکربندی، شناسایی آسیبپذیریها و پشتیبانی از تطابق با مقررات میشوند.
راهحل Wazuh بر اساس عامل Wazuh که بر روی نقاط انتهایی مورد نظارت نصب میشود و سه جزء مرکزی دیگر بنا شده است: سرور Wazuh، ایندکسر Wazuh، و داشبورد Wazuh.
◽ ایندکسر: یک موتور جستجو و تحلیل متن کامل و مقیاسپذیر است. این جزء مرکزی هشدارهای تولید شده توسط سرور Wazuh را ایندکس و ذخیره میکند.
◽ سرور: دادههای دریافتی از عوامل را تحلیل میکند. این دادهها را از طریق دیکودرها و قوانین پردازش کرده و با استفاده از اطلاعات تهدید، به دنبال نشانههای شناخته شده از نفوذ (IOC) میگردد. یک سرور میتواند دادههای صدها یا هزاران عامل را تحلیل کرده و در صورت تنظیم به عنوان خوشه، به صورت افقی مقیاسپذیر شود. این جزء مرکزی همچنین برای مدیریت عوامل، پیکربندی و بهروزرسانی آنها از راه دور استفاده میشود.
◽ داشبورد: رابط کاربری وب برای بصریسازی و تحلیل دادهها است. این داشبورد شامل داشبوردهای آماده برای جستجوی تهدیدات، تطابق با مقررات (مانند PCI DSS، GDPR، CIS، HIPAA، NIST 800-53)، شناسایی برنامههای آسیبپذیر، دادههای نظارت بر تمامیت فایلها، نتایج ارزیابی پیکربندی، رویدادهای نظارت بر زیرساختهای ابری و موارد دیگر است. همچنین برای مدیریت پیکربندی Wazuh و نظارت بر وضعیت آن استفاده میشود
◽ Agent : بر روی نقاط انتهایی مانند لپتاپها، دسکتاپها، سرورها، نمونههای ابری یا ماشینهای مجازی نصب میشوند. این عوامل قابلیتهای پیشگیری، شناسایی و پاسخ به تهدیدات را فراهم میکنند. آنها بر روی سیستمعاملهایی مانند لینوکس، ویندوز، macOS، سولاریس، AIX و HP-UX اجرا میشوند.
علاوه بر قابلیتهای نظارت مبتنی بر عامل، پلتفرم Wazuh میتواند دستگاههای بدون عامل مانند فایروالها، سوئیچها، روترها یا سیستمهای IDS شبکه را نیز نظارت کند. برای مثال، دادههای لاگ سیستم میتوانند از طریق Syslog جمعآوری شده و پیکربندی آن از طریق پروبهای دورهای دادهها، از طریق SSH یا API نظارت شود.