Мониторинг сетевых соединений Linux используя Wazuh и eBPF

Wazuh

Wazuh — это платформа для мониторинга безопасности, обнаружения угроз и управления инцидентами в ИТ-инфраструктуре. Мы уже рассказывали про интеграцию Wazuh с MISP. Сегодня расскажу о том, как использовать технологию eBPF для эффективного мониторинга сетевых соединений с помощью Wazuh.

Еще по теме: Rsyslog для передачи событий Windows в Wazuh

Что такое Wazuh и eBPF

Wazuh предоставляет комплексное решение для мониторинга безопасности, обнаружения угроз и реагирования на инциденты. Wazuh объединяет функции анализа журналов, обнаружения вторжений, мониторинга целостности файлов и оценки уязвимостей в единую систему.

eBPF (extended Berkeley Packet Filter) — это технология в ядре Linux, которая позволяет запускать изолированный код в привилегированном контексте ядра. Она обеспечивает безопасный и эффективный способ расширения функциональности ядра без изменения его исходного кода или перезагрузки системы. eBPF широко используется для трассировки, мониторинга производительности, сетевой фильтрации и обеспечения безопасности в современных системах Linux.

Мониторинг соединений с Wazuh и eBPF

Для достижения нашей цели необходимо изменим утилиту tcptracer, чтобы она взаимодействовала с сокетом Wazuh, что позволит отслеживать функции ядра, отвечающие за установку, прием и закрытие TCP-соединений.

Для начала нам понадобятся установленные BCC и bpfcc, а также агент Wazuh для Linux.

Начнем с настройки агента Wazuh и eBPF. Для этого скачаем скрипт WazuheBPFTCPTracer:

Настроим его как сервис:

Теперь настроим Wazuh Manager и Dashboard. Для обработки событий нужно добавить декодеры, правила и пайплайн

Декодеры, правила и пайплайн — это ключевые компоненты в системах обработки данных и безопасности. Декодеры преобразуют сырые данные в структурированный формат, правила определяют условия для анализа этих данных и выявления важных событий, а пайплайн представляет собой полную последовательность этапов обработки, включающую сбор, декодирование, применение правил и анализ данных.

Добавьте декодеры и правила в соответствующие конфигурационные файлы Wazuh.

Декодеры:

Правила:

Затем добавьте пайплайн на сервере Wazuh в файл:

Пайплайн:

После внесения изменений перезапустите менеджер Wazuh и обновите пайплайны:

Импортируйте готовые дашборды с GitHub в панели управления Wazuh. Делается это на вкладке Management —> StackManagement —> Import.

Добавление дашборда с GitHub в панели управления Wazuh

Теперь система готова к работе. Любые действия, устанавливающие TCP-соединения, будут отслеживаться. Например:

Мониторинг сетевых соединений Linux используя Wazuh eBPF

Используя возможности eBPF, можно эффективно собирать данные о TCP-соединениях, что позволяет с минимальными затратами ресурсов определять местоположение и получать другую информацию о сетевых событиях.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий