Documentação CeTI

Appearance

SIEM Wazuh

O Wazuh compõe o Sistema de Detecção e Prevenção de Invasões Baseado em Host (HIDS), Auditoria de Logs de Segurança, Resposta a Incidentes (IR) e verificação contínua de configurações da corporação. Ele atua sob o núcleo de Centro de Operações de Segurança (SOC) da PMDF na SSSI.

Arquitetura de SOC e Resposta

O servidor central do Wazuh atua gerindo todos os eventos e indexando-os visualmente via Kibana/OpenSearch. Ele faz uma varredura nas vulnerabilidades:

  1. Gestão de Compliance e Vulnerabilidades: Acompanha ativamente CVEs aplicáveis ao inventário (Software antigo em Windows, Kernel vulnerável em VMs, Docker Containers perigosos no Kubernetes).

  2. Auditoria em Trilha Operacional: Alterações não documentadas de permissão num servidor são coletadas em instantes (FIM - File Integrity Monitoring).

bash
# Como o Agente reporta suas informações básicas do Host aos indexadores WAZUH:
# Através de chaves e comunicações criptografadas pela porta 1514 (TCP ou UDP)
<ossec_config>
  <client>
    <server>
      <address>endereco.pm.df.gov.br</address>
      <protocol>tcp</protocol>
    </server>
  </client>
</ossec_config>

Resposta Dinâmica (Active Response)

O Wazuh na SSSI tem capacidade de execução ativa em agentes. Quando o sistema detecta comportamento persistente malicioso (Força Bruta RDP), ele instantaneamente solicita ao agente que injete bloqueios permanentes nos firewalls locais (Iptables / Windows Firewall) ou instrui regras de drop no Checkpoint via scripts customizados.

Integração com o Active Directory e Keycloak

A auditoria e o envio dos eventos de LOGS do Microsoft AD e do servidor de identidade Keycloak integram os painéis primários do Wazuh buscando:

  • Contas tentadas seguidamente ("Logon Failures").
  • Relatórios suspeitos de horários em que um login corporativo na rede é tentado.

Guia de Análise Básica: File Integrity e Vulnerabilidades

Público-alvo: O time de Defesa e SOC da SSSI.

  1. Navegue pelo painel do Kibana corporativo onde a extensão Wazuh atua.
  2. Para explorar vulnerabilidades, desça no menu do Wazuh para Vulnerabilities. Escolha um Host. Avalie se o CVE apontado pelo sistema necessita Patch Management imediato (Abertura de Gestão de Mudança).
  3. Para analisar mudanças indevidas (Quem alterou aquele arquido do servidor X às tantas horas do dia): Vá em File Integrity Monitoring. Ele indica em painel de timeline ou lista a natureza da modificação, Hashes e dados da manipulação de sistema de arquivos que os Auditores do OSSEC relataram.