Wazuh ölçeklenebilir, multi platformu, açık kaynaklı bir host-tabanlı intrusion detection (HIDS) sistemidir. Güçlü bir korelasyon ve analiz motoru olan OSSEC’in bir forku olarak doğmuştur. Wazuh Elastic Stack ve OpenSCAP ile entegre edilerek daha kapsamlı bir çözüm haline gelmiştir. Wazuh, log analizi, dosya bütünlüğü denetimi (file integrity checking), Windows kayıt defteri izleme (Windows registry monitoring), rootkit tespiti, gerçek zamanlı uyarı ve aktif response yapısına sahip olmakla birlikte Linux, OpenBSD, FreeBSD, dahil olmak üzere MacOSX, Solaris ve Windows gibi birçok işletim sisteminde çalışabilmektedir.
OpenSCAP, sistem yapılandırmalarını kontrol etmek ve güvenlik açığı olan uygulamaları tespit etmek için kullanılan bir OVAL (Open Vulnerability Assessment Language) ve XCCDF (Extensible Configuration Checklist Description Format) yorumlayıcısıdır.
OpenSCAP (Kaynak – https://lnkd.in/dS3pAj25), NIST tarafından sürdürülen bir dizi spesifikasyon olan SCAP’ı kullanır. SCAP, sistem güvenliğini sağlamak için standartlaştırılmış bir yaklaşım sağlamak üzere oluşturulmuştur. OpenSCAP temel olarak bir kontrol listesi içeriğini ifade etmenin standart bir yolu olan XCCDF’yi işler ve güvenlik kontrol listelerini tanımlar. Ayrıca CPE, CCE ve OVAL gibi diğer spesifikasyonlarla birleşerek SCAP onaylı ürünler tarafından işlenebilen SCAP ile ifade edilmiş bir kontrol listesi oluşturur (Kaynak – https://lnkd.in/dx8ANe5i).
Kurulum:
apt install openscap-common
apt install openscap-scanner
apt install openscap-utils
apt install ssg-base ssg-debderived ssg-debian ssg-nondebian ssg-applications
1. Sistemin güvenlik yapılandırma profilini XCCDF ile denetlersiniz.
2. Sistemdeki açıkları ve zafiyetleri OVAL ile tararsınız.
Tarama:
1. oscap xccdf eval –profile xccdf_org.ssgproject.content_profile_standard –report xccdf_report.html /usr/share/xml/scap/ssg/content/ssg-debian11-ds.xml
2. oscap oval eval –report oval_report.html /usr/share/xml/scap/ssg/content/ssg-debian11-oval.xml