پلتفرم Wazuh قابلیت‌های XDR و SIEM را برای حفاظت از بارهای کاری ابر، کانتینر، و سرورها ارائه می‌دهد. این قابلیت‌ها شامل تحلیل داده‌های لاگ، شناسایی نفوذ و بدافزار، نظارت بر تمامیت فایل‌ها، ارزیابی پیکربندی، شناسایی آسیب‌پذیری‌ها و پشتیبانی از تطابق با مقررات می‌شوند.

راه‌حل Wazuh بر اساس عامل Wazuh که بر روی نقاط انتهایی مورد نظارت نصب می‌شود و سه جزء مرکزی دیگر بنا شده است: سرور Wazuh، ایندکسر Wazuh، و داشبورد Wazuh.

◽ ایندکسر: یک موتور جستجو و تحلیل متن کامل و مقیاس‌پذیر است. این جزء مرکزی هشدارهای تولید شده توسط سرور Wazuh را ایندکس و ذخیره می‌کند.

◽ سرور: داده‌های دریافتی از عوامل را تحلیل می‌کند. این داده‌ها را از طریق دیکودرها و قوانین پردازش کرده و با استفاده از اطلاعات تهدید، به دنبال نشانه‌های شناخته شده از نفوذ (IOC) می‌گردد. یک سرور می‌تواند داده‌های صدها یا هزاران عامل را تحلیل کرده و در صورت تنظیم به عنوان خوشه، به صورت افقی مقیاس‌پذیر شود. این جزء مرکزی همچنین برای مدیریت عوامل، پیکربندی و به‌روزرسانی آن‌ها از راه دور استفاده می‌شود.

داشبورد: رابط کاربری وب برای بصری‌سازی و تحلیل داده‌ها است. این داشبورد شامل داشبوردهای آماده برای جستجوی تهدیدات، تطابق با مقررات (مانند PCI DSS، GDPR، CIS، HIPAA، NIST 800-53)، شناسایی برنامه‌های آسیب‌پذیر، داده‌های نظارت بر تمامیت فایل‌ها، نتایج ارزیابی پیکربندی، رویدادهای نظارت بر زیرساخت‌های ابری و موارد دیگر است. همچنین برای مدیریت پیکربندی Wazuh و نظارت بر وضعیت آن استفاده می‌شود

◽ Agent : بر روی نقاط انتهایی مانند لپ‌تاپ‌ها، دسکتاپ‌ها، سرورها، نمونه‌های ابری یا ماشین‌های مجازی نصب می‌شوند. این عوامل قابلیت‌های پیشگیری، شناسایی و پاسخ به تهدیدات را فراهم می‌کنند. آن‌ها بر روی سیستم‌عامل‌هایی مانند لینوکس، ویندوز، macOS، سولاریس، AIX و HP-UX اجرا می‌شوند.

علاوه بر قابلیت‌های نظارت مبتنی بر عامل، پلتفرم Wazuh می‌تواند دستگاه‌های بدون عامل مانند فایروال‌ها، سوئیچ‌ها، روترها یا سیستم‌های IDS شبکه را نیز نظارت کند. برای مثال، داده‌های لاگ سیستم می‌توانند از طریق Syslog جمع‌آوری شده و پیکربندی آن از طریق پروب‌های دوره‌ای داده‌ها، از طریق SSH یا API نظارت شود.