[Wazuh] Wazuh란? 구성 및 개념도[1/2]
Wazuh란?
Wazuh는 클라우드, 컨테이너, 서버를 보호하기 위한 오픈소스 플랫폼의 서비스이다.
즉, 잘만 사용하면 여느 유료 솔루션 부럽지 않은 Server H-IDS 유형의 오픈소스 솔루션이다.
로그 데이터 분석, 악성코드 탐지/침입 방지, 파일 무결성 모니터링, 취약점 진단/규정 준수와 같은 다양한 기능을 제공한다.
> 공식홈페이지에 나와있는 내용을 발췌하면, 아래 파란색 음영처리 된 문구가 Wazuh에서 제공중인 기능이다.
기본적으로 Wazuh Agent - Wazuh Server로 구성되어 있으며, 필요에 따라 Elasticsearch와 연동하여 사용한다.
- 공식홈페이지에서 ES가 기본 전제로 가이드되어 있다.
Build the Wazuh Lab VPC - Prepare your Wazuh Lab Environment
Build the Wazuh Lab VPC - Prepare your Wazuh Lab Environment
User manual, installation and configuration guides. Learn how to get the most out of the Wazuh platform.
documentation.wazuh.com
위의 가이드대로 진행하면, 무리없이 Wazuh + ES를 설치할 수 있으나 각 구성마다 어떻게 동작하는지 알고싶은 생각이 들었다!!\
위 구성도에 위치한 1, 2, 3 구간별로 어떤 방식으로 연동되어 있는지 알아보자!
1. Wazuh Agent ↔ Wazuh Server 연동
기본적으로 Wazuh는 Agent + Server 기반의 솔루션이다.
모니터링하고 싶은 서버 또는 데스크탑에 Wazuh Agent를 설치하고, 이를 관리하기 위한 Server와 로그 연동을 한다.
그렇다면, Wazuh Agent는 어떻게 Wazuh Server 정보를 알고 연동을 할까?
그 답은 /var/ossec/etc/ossec.conf 파일에 Server 정보를 저장하고 있기 때문이다.
실제로 Wazuh Agent를 연결하는 프로세스의 lsof 결과를 보면, /var/ossec를 참조하고 있음을 알 수 있다.
추가로 /var/ossec/etc/ossec.conf 파일에 Wazuh Agent의 기능 활성화/비활성화, 예외처리 등에 대한 전반적인 내용이 있다.
- 각 기능마다 <disabled> 란에 해당 서비스를 사용 여부를 정할 수 있는데, no = 기능 활성화를 뜻한다.
정리하자면,
Wazuh Agent는 ossec.conf를 참조하여 Wazuh Server와 데이터 송/수신 및 연동하며 각 기능 활성화/예외처리 등을 정한다!!
1편에서는 Wazuh Agent - Server 연동을 알아보았으며, 2편에서는 Wazuh - ElasticSeach 연동에 대해 알아보자!