Wazuh: Sicurezza Open Source per tutti i Server

Pubblicato il da

Nel panorama attuale della cybersecurity, le aziende devono affrontare minacce sempre più sofisticate. In questo contesto, Wazuh si afferma come una delle soluzioni open source più potenti per la protezione dei server. Evoluzione del progetto OSSEC, Wazuh combina funzionalità SIEM (Security Information and Event Management) e XDR (Extended Detection and Response) offrendo una piattaforma gratuita, scalabile e ricca di strumenti per la sicurezza informatica.

Cos’è Wazuh e perché usarlo

Wazuh è una piattaforma che consente il monitoraggio continuo, la raccolta centralizzata dei log, l’analisi delle minacce in tempo reale e la verifica della conformità alle normative. Può essere utilizzata per proteggere infrastrutture fisiche, virtuali, containerizzate e cloud. Tra i suoi punti di forza:

  • Rilevamento intrusioni (IDS)
  • Monitoraggio file (FIM)
  • Analisi delle vulnerabilità
  • Gestione della conformità (GDPR, PCI-DSS, ISO 27001)
  • Active response contro attacchi in corso

Componenti della piattaforma

  • Wazuh Manager: il cuore del sistema, riceve e analizza i dati dagli agenti.
  • Wazuh Agent: installato su ogni server da monitorare (Linux, Windows, macOS), raccoglie log e altri dati.
  • Dashboard (Web Interface): interfaccia basata su Kibana per visualizzare eventi, allarmi e report.
  • Wazuh Indexer: basato su Elasticsearch/OpenSearch, archivia e indicizza i dati per ricerche e analisi veloci.

Guida all’installazione su Linux Ubuntu Server 24.04

  1. Aggiorna il sistema:
sudo apt update && sudo apt full-upgrade -y
  1. Installa curl se necessario:
sudo apt install curl
  1. Scarica e installa Wazuh (tutti i componenti):
curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh
sudo bash wazuh-install.sh -a
  1. Accedi alla dashboard: Dopo l’installazione, accedi da browser all’indirizzo https://<IP_del_tuo_server> con le credenziali fornite dallo script.

Esempio di dashboard:

Aggiunta degli agent

Su server Linux:

curl -sO https://packages.wazuh.com/4.x/apt/wazuh-agent_4.11.0-1_amd64.deb
sudo dpkg -i wazuh-agent_4.11.0-1_amd64.deb

Configura l’agente per comunicare con il tuo server Wazuh e avvialo:

echo "MANAGER_IP=<IP_SERVER_WAZUH>" | sudo tee -a /var/ossec/etc/ossec.conf
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Su sistemi Windows:

  1. Scarica l’agente da: https://packages.wazuh.com/4.x/windows/wazuh-agent-4.11.0-1.msi
  2. Esegui il file .msi e completa l’installazione guidata.
  3. Configura il file ossec.conf in C:\Program Files (x86)\ossec-agent\ per impostare l’IP del manager:
<server>
  <address>IP_DEL_MANAGER</address>
</server>
  1. Avvia l’agente dal prompt dei comandi con privilegi di amministratore:
"C:\Program Files (x86)\ossec-agent\ossec-control" start

Puoi monitorare e gestire gli agent Windows dalla dashboard come quelli Linux.

Configurazione e utilizzo di Wazuh

Dopo aver installato e avviato la dashboard, puoi accedere al pannello web per monitorare:

  • Tutti i server monitorati
  • Eventi di sicurezza
  • Stato degli agent
  • Integrità dei file
  • Vulnerabilità e allarmi

Configurazione degli agenti

Dalla dashboard è possibile:

  • Verificare la connessione di ogni agente
  • Assegnare regole di sicurezza personalizzate
  • Definire file o directory da monitorare (FIM)
  • Configurare la risposta automatica agli eventi (Active Response)

Configurare il File Integrity Monitoring (FIM)

Modifica il file di configurazione dell’agente:

<syscheck>
  <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
</syscheck>

Riavvia l’agente:

sudo systemctl restart wazuh-agent

Monitoraggio accessi SSH e rilevamento attacchi

Wazuh dispone di regole predefinite per identificare:

  • Accessi non autorizzati
  • Brute-force
  • Login falliti

Questi eventi vengono segnalati come “Alert” nella sezione Security Events della dashboard.

Visualizzazione vulnerabilità

La dashboard mostra anche le vulnerabilità rilevate tramite scansione automatica dei pacchetti installati.

Esempi d’uso pratici

  • Rilevamento attacchi SSH: Wazuh rileva automaticamente brute-force e accessi sospetti, generando allarmi e bloccando IP dannosi.
  • File Integrity Monitoring: protegge file sensibili (es. /etc/passwd) e segnala modifiche in tempo reale.
  • Conformità: verifica se i tuoi server rispettano policy di sicurezza standard (es. password complesse, SSH sicuro, ecc.)

Conclusione

Wazuh è uno strumento fondamentale per rafforzare la sicurezza di qualsiasi infrastruttura. Gratuito, scalabile, completo e con una vivace community, rappresenta una valida alternativa a molte soluzioni commerciali.
Inoltre puoi consultare la documentazione ufficiale di Wazuh al seguente indirizzo: https://documentation.wazuh.com
La documentazione è molto ben organizzata e aggiornata, con guide dettagliate.

Vuoi proteggere i tuoi server Linux (e Windows) in modo avanzato e professionale? Prova Wazuh oggi stesso!

Disclaimer: Questo articolo è pubblicato a scopo puramente informativo ed educativo. L’utilizzo delle tecnologie descritte è sotto la completa responsabilità dell’utente. Si consiglia di testare sempre ogni soluzione in ambienti controllati prima di adottarla in produzione.