ADMIN

2023

10

2023-09-28T12:00:00

Proaktive IT-Sicherheit

TESTS

014

Sicherheit

Extended Detection

Wazuh

Gefahr erkannt, Gefahr gebannt

von Martin Gerhard Loschwitz

Veröffentlicht in Ausgabe 10/2023 - TESTS

Extended Detection and Response und Security Information and Event Management sind zwei elementare Bausteine von Sicherheitskonzepten, in der Praxis aber regelmäßig kompliziert umzusetzen. Die Open-Source-Software Wazuh verspricht, dies zu vereinfachen, und positioniert sich als Rundum-Sorglos-Paket für IT-Sicherheit. Im Test überzeugte die kostenlose Anwendung mit schlauer Technologie und einfacher Bedienbarkeit.

Wie gut sich eine IT-Attacke erkennen oder gar verhindern lässt, hängt von etlichen Faktoren ab. Viele davon sind von IT-Profis kaum sinnvoll zu beeinflussen. Zum Glück sind Angriffe durch staatlich subventionierte Hackerorganisationen nicht die Norm – viel häufiger sind Attacken technisch einigermaßen banal und zielen vor allem darauf ab, schnell Kasse zu machen. Das gilt für die großen Botnetze, Ransomware und auch gezielte Einbruchsversuche, bei denen entwendete Daten teuer verkauft werden.
Die gute Nachricht: Gegen Angriffe dieser Art kann sich die IT gut schützen, wenn sie das eigene Bedrohungsszenario realistisch skizziert und die passenden Vorkehrungen trifft. Genau das ist allerdings alles andere als trivial. So gehört es zu den Alpträumen eines Administrators schlechthin, offensichtliche Einfallstore zu übersehen und dann nicht zu merken, dass Ganoven sich an der eigenen IT-Infrastruktur zu schaffen machen.
Freies Wazuh muss sich beweisen
Etliche Firmen bieten entsprechende Sicherheitskonzepte oder -produkte gegen teures Geld an, andere Anbieter wählen den Weg, ihren Umsatz vorrangig über Support zu verdienen. Zu diesen gehört Wazuh: Das Werkzeug steht nicht nur kostenlos zur Verfügung, sondern auch unter einer freien Lizenz. Es handelt sich um klassische Open-Source-Software, die die Autoren frei verteilen. Einen "billigen" Eindruck möchte das Produkt allerdings tunlichst vermeiden und geizt nicht mit Versprechen: Es integriert Extended Detection and Response (XDR) und Security Information and Event Management (SIEM), sodass sich laut Anbieter Angriffe zuverlässig erkennen lassen. Dies soll Admins bei der Implementierung von Sicherheits- und Compliance-Maßnahmen unterstützen und dabei sowohl in der Cloud als auch lokal zum Einsatz kommen können.
Wie gut sich eine IT-Attacke erkennen oder gar verhindern lässt, hängt von etlichen Faktoren ab. Viele davon sind von IT-Profis kaum sinnvoll zu beeinflussen. Zum Glück sind Angriffe durch staatlich subventionierte Hackerorganisationen nicht die Norm – viel häufiger sind Attacken technisch einigermaßen banal und zielen vor allem darauf ab, schnell Kasse zu machen. Das gilt für die großen Botnetze, Ransomware und auch gezielte Einbruchsversuche, bei denen entwendete Daten teuer verkauft werden.
Die gute Nachricht: Gegen Angriffe dieser Art kann sich die IT gut schützen, wenn sie das eigene Bedrohungsszenario realistisch skizziert und die passenden Vorkehrungen trifft. Genau das ist allerdings alles andere als trivial. So gehört es zu den Alpträumen eines Administrators schlechthin, offensichtliche Einfallstore zu übersehen und dann nicht zu merken, dass Ganoven sich an der eigenen IT-Infrastruktur zu schaffen machen.
Freies Wazuh muss sich beweisen
Etliche Firmen bieten entsprechende Sicherheitskonzepte oder -produkte gegen teures Geld an, andere Anbieter wählen den Weg, ihren Umsatz vorrangig über Support zu verdienen. Zu diesen gehört Wazuh: Das Werkzeug steht nicht nur kostenlos zur Verfügung, sondern auch unter einer freien Lizenz. Es handelt sich um klassische Open-Source-Software, die die Autoren frei verteilen. Einen "billigen" Eindruck möchte das Produkt allerdings tunlichst vermeiden und geizt nicht mit Versprechen: Es integriert Extended Detection and Response (XDR) und Security Information and Event Management (SIEM), sodass sich laut Anbieter Angriffe zuverlässig erkennen lassen. Dies soll Admins bei der Implementierung von Sicherheits- und Compliance-Maßnahmen unterstützen und dabei sowohl in der Cloud als auch lokal zum Einsatz kommen können.
Im Test nahmen wir fünf Faktoren genauer unter die Lupe. Zunächst geht es um die Grundfunktionen des Tools und seine Kompatibilität zu gängigen IT-Infrastrukturen: Welche Systeme kann Wazuh überwachen und wie gut ist es dabei? Faktor zwei kümmert sich um Sonderfunktionen, die nicht jedes XDR bietet und die Wazuh besonders machen. Das dritte Kriterium befasst sich mit der Sicherheit von Wazuh selbst sowie mit der Frage, welche Sicherheits- und Compliance-Maßnahmen die Software umzusetzen hilft. Und weil Wazuh selten alleine im Rechenzentrum zum Einsatz kommt, geht es im vierten Abschnitt des Tests dann um die Möglichkeiten, das Produkt mit anderen Komponenten zu kombinieren. Das fünfte und letzte Testkriterium schließlich wirft ein Schlaglicht auf die grafische Oberfläche von Wazuh sowie seine Benutzbarkeit auch und besonders im Hinblick auf spezielle Features – ist es auch für Nicht-Sicherheitsprofis nutzbar oder bedarf es am Ende doch wieder eines Experten auf CISSP-Niveau?
Wazuh
Produkt
Software für Extended Detection and Response und Security Information and Event Management
Hersteller
Wazuh
Preis
In der On-Premises-Variante kostenlos und als freie Software verfügbar. Die Preise für Wazuh Cloud variieren je nach Workload und transportierter Datenmenge.
Systemanforderungen
Für eine lokale Installation mit 25 Agenten auf Zielsystemen: Vier vCPUs, 8 GByte RAM, 50 GByte Plattenplatz, RHEL 7/8/9, CentOS 7/8 oder Ubuntu LTS.
Technische Daten
Sinnvolles Sicherheitspaket
Wer sich Wazuh ins Unternehmen holt, hat klare Anforderungen: Sicherer soll die eigene Umgebung werden, aber ohne dass dafür über Monate hinweg ein umfassendes Sicherheitskonzept erstellt und von Experten umgesetzt werden müsste. Stattdessen wollen IT-Verantwortliche von der Erfahrung des Herstellers profitieren und Sicherheit von der Stange kaufen. Wazuh wirft hier XDR und SIEM ins Spiel: XDR zielt darauf ab, Angriffe anhand bestimmter Muster idealerweise schon zu erkennen, bevor sie wirklich gefährlich geworden sind, und SIEM beschreibt Mittel, Wege und Standards, um Themen mit Sicherheitsbezug innerhalb von Firmen sinnvoll zu verwalten und zu implementieren.
Konkret funktioniert das bei Wazuh so, dass auf den zu überwachenden Systemen ein Agent ausgerollt wird, der anfallende Ereignisse mitschreibt und an eine zentrale Stelle – den Wazuh-Server – sendet. Der analysiert auf Basis heuristischer Werkzeuge und zum Teil mit Support aus der Cloud die eingehenden Daten und schlägt bei bekannten Angriffsmustern Alarm. Wazuh vereint dabei die Überwachung etlicher Dienstarten: Endpoint-Security, also die Sicherheit einzelner Computer, Bedrohungserkennung, die regelmäßige Durchführung von Sicherheitsmaßnahmen und -vorkehrungen sowie die Security von Cloud-Setups gehören zum Spektrum.
Obendrauf kommt noch die Überwachung von Dateien auf Zielsystemen: Der lokal ausgerollte Wazuh-Agent wirft also je nach Konfiguration ein Auge auf spezielle Dateien, die im Rahmen von Angriffen gerne ausgetauscht werden, und schlägt Alarm, falls sich etwa die Checksumme eines Programmes ändert. Das führt unter Umständen zwar zu False Positives, weil die entsprechenden Programme manchmal auch im Rahmen regulärer Updates durch den Hersteller der Distribution ausgetauscht werden, sodass sich ihre Checksumme ändert. Das ist praktisch aber nicht zu vermeiden und letztlich ein Nachteil, den der Administrator im Sinne einer höheren Sicherheit in Kauf nehmen muss. In Summe ist der Umfang der von Wazuh gelieferten Grundüberwachung von Systemen jedenfalls beeindruckend.
Bild 1: Im Rahmen seiner Features zur Erkennung von Einbrüchen prüft Wazuh die Dateien auf Zielsystemen und schlägt Alarm, falls diese sich ohne Zutun des Administrators verändern.
Inbetriebnahme aus dem Lehrbuch
In Sachen unterstützter Zielgeräte gibt Wazuh sich zudem durchaus weltoffen. Linux gehört in Form von etlichen unterstützten Zieldistributionen ebenso zum gelieferten Leistungsumfang wie die Überwachung von Windows, macOS, Solaris, AIX oder HP UX. Das gilt freilich nur für den Agenten, denn wer sich den Wazuh-Server ins Rack hängen möchte, muss das zwangsläufig auf einem Linux-System tun. Eine Alternative dazu wäre lediglich die Nutzung von Wazuh Cloud. Die dürfte in vielen Unternehmen jedoch wie üblich daran scheitern, dass Firmen sicherheitssensible Daten kaum in Richtung AWS, Azure & Co. senden wollen und das regelmäßig auch gar nicht dürfen.
Wer Wazuh lokal ausrollen möchte, erfreut sich an der einfachen Installation und Einrichtung der zu Wazuh gehörenden Komponenten. Denn das Wazuh-Setup lässt sich entweder komplett zu Fuß erledigen oder über Docker-Container abwickeln, die der Anbieter selbst feilbietet. Ebenso zu den unterstützten Deployment-Szenarien gehört das Ausrollen des Servers mittels Ansible, wofür Wazuh selbst passende Rollen und Playbooks liefert. Tatsächlich ist es mittels der bereitgestellten Methoden aus Sicht des Administrators nicht sehr schwierig, die Software an den Start zu bekommen und effizient zu nutzen. Erleichternd kommt hinzu, dass Wazuh zumindest in der Standardkonfiguration keinen Server mit sonderlich viel Ressourcen benötigt. Ein handelsübliches Gerät von der Stange sollte zumindest für die ersten Gehversuche völlig genügen. Eine Ausnahme von dieser Regel bilden freilich Setups, die historische Daten möglichst lange vorhalten und speichern wollen. Wie üblich gilt: Wer viele Daten auf Dauer ablegen möchte, braucht viel (flotten) Speicher.
Besonders erfreulich war im Test, dass die Standardfunktionen von Wazuh nach der ersten Installation samt und sonders funktionierten wie beschrieben. An den Start brachten wir das Produkt also tatsächlich schnell, auch weil die Installation leicht von der Hand geht und kluge Standardeinstellungen sowie ein hilfreicher Setupassistent zum guten Gesamteindruck beitragen. Die heuristische Erkennung von Angriffen sowie grundlegende Compliance- und Security-Reports lassen sich mit Wazuh jedenfalls kurz nach der Installation effektiv durchführen.
SIEM überzeugt lokal und in der Cloud
SIEM bezeichnet weniger eine konkrete technische Implementierung als ein umfassendes Konzept, das durch geeignete Maßnahmen die von Angriffen ausgehende Gefahr reduzieren und ihr Aufdecken schneller ermöglichen soll. In genau diese Kerbe schlagen dann auch die SIEM-Funktionen von Wazuh. Die auf vielen Systemen ab Werk vorhandenen Security-Logs etwa wertet Wazuh automatisiert aus und fasst wichtige Ereignisse in einem Ereignis-Log zusammen. Das umfasst beispielsweise die Logs von SELinux oder AppArmor, die auf RHELbeziehungsweise SUSE-kompatiblen Systemen ab Werk regelmäßig existieren. Finden hier Änderungen an zentralen Systemdateien oder Zugriffsanfragen statt, ohne dass der Administrator oder ein Anwender diese ausgelöst hätten, ist erhöhte Aufmerksamkeit geboten.
Dasselbe gilt für die Überwachung von Programmierfehlern mit Sicherheitshintergrund. Wazuh scannt auf den überwachten Systemen die installierten Anwendungen regelmäßig und gleicht die gefundenen Versionen mit einer Liste bekannter Schwachstellen ab. Findet es eine vermeintlich verwundbare Version eines Tools, schlägt es Alarm und informiert den Administrator. Der muss dann zwar noch immer selber prüfen, ob das Problem tatsächlich besteht oder ein Fehlalarm ist. Aber immerhin bekommt er durch die umfassenden Überwachungsmaßnahmen dazu überhaupt die Gelegenheit. Diese Funktionen erstrecken sich zudem auch auf Docker-Container, sodass Sicherheitsprobleme in diesen Wazuh nicht verborgen bleiben.
Darüber hinaus bietet das Werkzeug dem Administrator einigen Komfort auch in Sachen Überwachung von Diensten in der Cloud. Wie eingangs erwähnt richtet sich das Produkt an Unternehmen, die selbst noch keine umfassende Sicherheitsstrategie haben und auch nicht das Personal, um eine solche zu erstellen. Klar: Wer ohnehin Sicherheitsprofis im Unternehmen hat, kann sich eine maßgeschneiderte Umgebung bauen, die im Detail an manchen Stellen sicher "vollständiger" wäre als Wazuh. Das ist aber teuer und aufwendig, und zwar sowohl im Hinblick auf die Aufgabe selbst als auch im Hinblick auf das benötigte Personal. Wazuh ist offensichtlich der Überzeugung, dass hybride Setups regulärer Bestandteil zeitgenössischer IT-Umgebungen sind und hat die Cloud in den eigenen Überlegungen deshalb bedacht. So lassen sich etwa mit Wazuh AWS-Instanzen und verschiedene AWSDienstarten ebenso überwachen wie Workloads in Azure oder GCP. Als besonderes Schmankerl erhalten Admins auch ein Monitoring von Microsoft 365. Hier implementiert Wazuh eine Art basalen Virenschutz, legt sein Auge auf Dateien und schlägt Alarm, falls sich gespeicherte Dokumente nach bestimmten Kriterien ändern.
Nicht unerwähnt bleiben soll schließlich Wazuhs zentrale REST-API, über die das Werkzeug sich von außen praktisch komplett steuern lässt. Über standardisierte Wege lassen sich also sowohl zentrale Informationen aus Wazuh erfragen, etwa um sie in anderen Werkzeugen weiter zu verarbeiten, als auch die Konfiguration der Software ändern oder erweitern. Eine entsprechende API-Dokumentation des Herstellers verrät, wie das funktioniert.
Security und Compliance clever umgesetzt
Wazuh ließe sich nicht sinnvoll einsetzen, wenn es selbst von fehlenden Sicherheitsfeatures oder regelmäßigen Programmierfehlern mit Sicherheitsbezug betroffen wäre. Diesen Vorwurf muss das Werkzeug sich aber nicht gefallen lassen, und zwar aus mehreren Gründen: Klassische Compliance-Funktionen wie die Integration mit einem bestehenden Benutzerverzeichnis beherrscht Wazuh beispielsweise problemlos. Wer also die Anwender des eigenen Unternehmens zentral verwaltet, kann Wazuh an dieses Verzeichnis problemlos ankoppeln. Obendrauf unterstützt die Software RBAC, bietet also die Möglichkeit, über Rechte und Rollen verschiedene Berechtigungen zu vergeben und verschiedenen Anwendern so verschiedene Handlungen zu erlauben. Und Single Sign-on ist über gleich mehrere der üblichen Provider möglich.
Auch darüber hinaus leistet Wazuh sich keine Ausfälle im Hinblick auf die eigene Sicherheit. So verweigert das Werkzeug kurzerhand den Dienst, wenn der Zugriff auf das Webinterface oder die API nicht SSL-verschlüsselt erfolgt. Die Dokumentation weist ausdrücklich darauf hin, dass Wazuh niemals ohne verschlüsselte Verbindung im Netz stehen sollte, weil sämtliche Daten ansonsten im Klartext übertragen würden. Das sollte im Jahr 2023 eigentlich eine Selbstverständlichkeit sein, wird gerade von größeren Anbietern aber regelmäßig ignoriert und hinterlässt konsternierte Admins.
Im Kontext von Security und Compliance liefert Wazuh zudem eine weitere wichtige Funktion, die sich für Admins als ausgesprochen praktisch herausstellt. Denn gängige Zertifizierungsregelwerke wie jene der DSGVO oder von PCI-DSS sind als Regelkatalog vorangelegt und lassen sich per Mausklick auf Systeme anwenden. Meistens zumindest, denn manche Konfigurationen muss der Administrator auch über entsprechende Einträge in Wazuh-Konfigurationsdateien erst aktivieren. Das tut der Sache jedoch keinen Abbruch, denn wer das Deployment ohnehin beispielsweise mittels Ansible automatisiert, erledigt diese Aufgabe in kürzester Zeit. In der Dokumentation liefern die Entwickler sogar einzelne Kapitel dazu, wie Wazuh sich für die Durchsetzung von Sicherheitsstandards nach verschiedenen Regeln passend konfigurieren lässt und geben konkrete Anweisungen dazu. Das ist vorbildlich und erleichtert dem Administrator den Einstieg enorm.
Einen echten Lapsus leisten die Wazuh-Entwickler sich dann aber doch, und zwar in ihrer Anleitung zur Installation. Mittlerweile gilt es unter Experten als verpönt, Shell-Skripte im Netz zum Download anzubieten und dem Nutzer zu raten, diese unmittelbar aus "wget" oder "curl" heraus in eine Shell mit Root-Rechten zu leiten. Zumindest sollte der Administrator das Skript stattdessen herunterladen, es kurz prüfen und dann lokal mit den Rechten von Root ausführen. Angesichts der ansonsten makellosen Wazuh-Bilanz ist dieser Lapsus unnötig peinlich und sollte schleunigst aus der Dokumentation verschwinden. Denn sonst entsteht der Eindruck, die Wazuh wüsste mit elementaren Sicherheitsstandards nicht umzugehen.
Bild 2: Auch Container nach Docker-Standard nimmt Wazuh im Hinblick auf Sicherheit und Compliance unter die Lupe.
Einfach zu bedienende HA an Bord
Neben den Standardfunktionen bedarf eine Software wie Wazuh gewisser Sonderfunktionen, um Admins ein Komfortlevel an Zuverlässigkeit und Bedienbarkeit zu bieten. Ein gutes Beispiel dafür ist der Wazuh-Server selbst, der ein klassischer Single-Point-of-Failure ist. Der Hersteller lässt den Administrator in dieser Hinsicht nicht im Regen stehen und liefert eine integrierte HA-Funktion mit.
Die ist innerhalb der Software implementiert, bedingt also nicht den Einsatz externer Zusatzkomponenten wie etwa des Clustermanagers Pacemaker. Das heißt freilich auch, dass HA-erfahrene Administratoren sich erst an die HA-Funktionen von Wazuh gewöhnen und deren Implementierung erlernen müssen, statt auf vorhandenes Wissen zurückzugreifen. Sonderlich komplex ist die HA-Funktion aber nicht, allzu viel Lernaufwand hat der Administrator folglich nicht vor der Brust.
Für große Umgebungen: Integration mit Datensammlern
Auch wenn Wazuh unter der Haube etliche Funktionen sinnvoll vereint, lässt die Software sich durchaus mit weiteren Komponenten kombinieren, um noch effizienter zu werden. Zwei Werkzeuge benennen die Entwickler in ihrer Dokumentation ausdrücklich: ElasticSearch (oder dessen offene Alternative Open Elastic) im Gespann mit Kibana sowie Splunk. Weil beide Dienste zur datensammelnden Zunft gehören, verwundert die Kompatibilität mit Wazuh an dieser Stelle erstmal nicht. ElasticSearch kann Wazuh als DB im Hintergrund verwenden, um eingehende Daten zu sichern und schneller zu analysieren. Dann kümmert sich die Software also nicht selbst um ihre Daten, sondern nutzt als Speicher ElasticSearch mitsamt den dort vorhandenen, hochperformanten Funktionen.
Administratoren seien an dieser Stelle jedoch gewarnt, denn der Betrieb eines ElasticSearch-Clusters ist nicht mal eben nebenbei erledigt. Soll ElasticSearch richtig und hochverfügbar laufen, ist das eine Mammutaufgabe. Die ist aber erforderlich, wenn es als Backend für Wazuh dienen soll, weil ansonsten das gesamte Sicherheitskonzept am seidenen Faden hängt. Benötigt wird viel Zeit für die Implementierung und viel Geld für die benötigte Hardware des ElasticSearch-Clusters. Entsprechend lohnt sich die Kombination aus Wazuh und Elastic-Search wohl vor allem für größere Unternehmen, dort dann aber richtig. Wazuh hat sich entsprechend genau die richtige Stelle ausgesucht, um das eigene Produkt mit externen Anwendungen zu erweitern.
Dasselbe gilt für die Integration mit Splunk, einem weiteren Sammeldienst für Daten aller Art, der Wazuh gut unter die Arme greifen kann. Allerdings ist Splunk einigermaßen teuer, sodass die Einschränkung im Hinblick auf große Unternehmen erneut gilt. In einem Großkonzern findet sich das benötigte Kleingeld für Splunk erfahrungsgemäß eher als in einer kleinen Firma, die nur grundlegende Sicherheitsfunktionen benötigt. Dass Wazuh sich mit externen Diensten wie ElasticSearch und Splunk für große Setups kombinieren lässt, die benötigten Features ansonsten aber auch autark zur Verfügung stellt, ist ein weiterer Pluspunkt für das Werkzeug.
Bild 3: Externe Dienste wie hier ElasticSearch im Gespann mit Kibana lassen sich ebenso wie Splunk als externe Datenquelle und als externer Datenspeicher integrieren.
Vorbildlich in Sachen Benutzbarkeit
Viele schlüsselfertige Lösungen für Sicherheit und Compliance wirken auf dem Papier hervorragend, entpuppen sich in der Realität aber als hochkomplexe und beinahe unbedienbare Monster. Das liegt nur zum Teil an ihnen selbst, denn IT-Sicherheit ist ein komplexes Thema, das ohne Vorwissen nur schwer zu durchdringen ist. Umso bemerkenswerter ist, dass es Wazuh gelingt, das Webinterface als zentrale GUI intuitiv bedienbar und gleichzeitig hochfunktional zu halten. Schon der erste Kontakt mit der Oberfläche vermittelt das Gefühl, hier alles unter Kontrolle zu haben und hinsichtlich zentraler Sicherheitsaspekte der eigenen Umgebung bestens informiert zu sein. Das zentrale Dashboard zeigt etwaige Bedrohungen sowie potenzielle Probleme an und ermöglicht mit wenigen Mausklicks, die umfassende Problembeschreibung zu erreichen, so dass wir uns im Test stets bestens informiert fühlten.
Die Struktur der GUI folgt dabei den immer selben, eingängigen Regeln. Im oberen Bereich einer Seite zeigt das Wazuh-GUI in Form eines Dashboards die aktuelle Situation überblicksartig an. Hier sind auch statistische Werte darüber zu finden, was im Setup in der jüngeren Vergangenheit los war. Darunter findet sich dann eine Liste kürzlich stattgefundener Ereignisse, die mit dem Thema des gerade aufgerufenen Dashboards zusammenhängen.
So zeigte uns etwa die "Vulnerability Detection"-Seite eine Liste aller kürzlich gefundenen Probleme in Sachen verwundbarer Programme. Das ist so schnell und eingängig nutzbar, dass die Eingewöhnungsphase ausgesprochen kurz ausfällt.
Hinzu kommt, dass zwar jede Menge Farben für die Darstellung zum Einsatz kommen, die GUI trotzdem niemals überladen oder grellbunt wirkt. Die Farben sind hier also nicht da, weil sie da sein wollen, sondern weil sie der sinnvollen Hervorhebung einzelner Faktoren tatsächlich dienlich sind. Insgesamt ist die Wazuh-GUI eine Augenweide und ein gutes Beispiel dafür, wie funktionale grafische Oberflächen aussehen sollten.
Fazit
Wazuh präsentiert sich prächtig: Unter offener Lizenz bekommt der Administrator hier zahlreiche Sicherheitsfunktionen kostenlos und verzehrfertig in das Rechenzentrum geliefert. Das Programm nimmt gerade Firmen, die sich bisher nicht ausführlich mit Einbruchsprävention, systemischer Sicherheit und SIEM beschäftigt haben, viel Arbeit ab und bietet einen schnellen und guten Einstieg. Dass Wazuh problemlos lokal zu betreiben ist, ist ein weiterer ausgesprochen positiver Aspekt. In Summe gilt: Wer auf der Suche nach einem Werkzeug für Sicherheit im eigenen RZ ist, sollte Wazuh ausgiebig evaluieren.
(jp)
So urteilt IT-Administrator
Bewertung
XDR8
SIEM8
Security und Compliance8
Integrationsfähigkeit8
Benutzeroberfläche9
Dieses Produkt eignet sich
optimal
für Unternehmen, die XDR und SIEM ohne viel Aufwand benötigen.
bedingt
für Organisationen, deren Work-loads vor allem in der Cloud laufen, denn dort stehen herstellereigene Werkzeuge zur Verfügung, die besser mit der jeweiligen Plattform integriert sind.
nicht
für Firmen, die ein maßgeschneidertes, umfassendes XDR und SIEM für viele hausin-terne Komponenten benötigen, weil hier der Aufbau einer spezifischen Umgebung der schnellere Ansatz ist.