[엔드포인트보안] Wazuh 아키텍처와 역할

 

Wazuh Agent

엔드포인트에 설치되어 보안 이벤트를 수집해 서버로 전송함

로그 수집 뿐만 아니라 파일 무결성 검사, 루트킷 탐지, 정책 위반 탐지 등의 역할

 

수집하는 데이터 종류

• 시스템로그(syslog, journald)
• 권한 상승, 파일 변경 이벤트
• 사용자 로그인/아웃 정보
• 취약점 스캔 결과
• 프로세스 목록

Wazuh Server

수집된 데이터를 분석해서 경고를 생성함

에이전트로부터 받은 로그를 디코딩해서 json 형태로 저장한 후 필터링하고 경고를 발생시킴 

이후 Filebeat를 통해 분석된 이벤트를 Indexer로 전송

처리해야 할 데이터가 많으면 노드 클러스터 구조로 데이터 분산 가능

→ 클러스터: 마스터 노드, 워커 노드로 구성

→ 마스터 노드: 에이전트 관리/ 워커 노드: 이벤트 처리, 룰 적용

 

디코딩 데이터 예

Dec 25 20:45:02 MyHost example[12345]: User 'admin' logged from '192.168.1.100'

**Phase 1: Completed pre-decoding.
        full event: 'Dec 25 20:45:02 MyHost example[12345]: User 'admin' logged from '192.168.1.100''
        timestamp: 'Dec 25 20:45:02'
        hostname: 'MyHost'
        program_name: 'example'

**Phase 2: Completed decoding.
        name: 'example'
        dstuser: 'admin'
        srcip: '192.168.1.100'

 

 

Wazuh Indexer

수집된 보안 이벤트를 저장하고 빠르게 검색할 수 있게 인덱싱하는 DB 시스템

인덱스란? 관련 데이터를 모아놓은 하나의 논리적 저장 공간

 

대표적인 인덱스로는 

wazuh-alerts-4.x-*: 서버가 생성한 경고 저장

wazuh-monitoring-4.x-*: 에이전트 상태 모니터링 데이터 저장

wazuh-statistics-4.x-*: 서버의 통계 정보 저장

 

Wazuh Dashboard

사용자가 뷰를 커스터마이징하고 보안 사고에 대해 심층적 조사를 할 수 있다

데이터 조회/검색, 시각화, 에이전트 관리, 서버 설정, 보안 모니터링, alert 관리/설정

 

 

아키텍처 설치 방식은 단일/멀티 노드 설치로 나뉨

단일 노드 설치: 서버, 인덱서, 대시보드를 한 서버에 설치하는데 관리가 간편하지만 성능이나 안전성 문제 발생가능

멀티 노드 설치: 위의 요소를 다른 서버에 설치하는 방식이라 안정성이 높고 네트워크 설정, 인증 구성이 필요함