Thiago Teixeira
EN | PT

Wazuh

Wazuh Inc.

Plataforma de segurança open-source que combina SIEM, XDR e detecção de intrusão baseada em host (HIDS).

Logs e SIEM Gratuito e Open Source Plataforma / Suíte Em Estudo Cross-platform
Página Inicial Documentação

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Preparação
9 Detecção e Análise
10 Contenção, Erradicação e Recuperação
11 Atividade Pós-Incidente

Descrição

O Wazuh é uma plataforma de segurança gratuita e open-source que reúne um agente de host leve, um manager/indexer central e um dashboard baseado em Kibana. Começou como fork do OSSEC e hoje entrega integridade de arquivos, análise de logs, detecção de rootkit, varredura de vulnerabilidades e mapeamento MITRE ATT&CK prontos para uso.

Para candidatos do CySA+, o Wazuh é o híbrido SIEM/XDR open-source canônico: agentes coletam dos endpoints, o manager correlaciona na frota e as regras geram alertas mapeados a técnicas ATT&CK. Costuma ser o primeiro SIEM de laboratório dos iniciantes.

Casos de uso

  • Construção de SIEM/XDR de homelab sem custo de licença
  • Monitoramento de integridade de arquivos em servidores críticos
  • Detecção de processos suspeitos / persistência via agentes
  • Correlação de eventos de endpoint com logs de nuvem (AWS/Azure/GCP)
  • Geração de relatórios de cobertura MITRE ATT&CK

Exemplo

# Enroll a new Linux agent against the manager
sudo WAZUH_MANAGER='10.0.0.5' apt-get install wazuh-agent
sudo systemctl enable --now wazuh-agent