Vazuh, açık kaynaklı, kurumsal düzeyde bir SIEM (Security Information and Event Management) ve HIDS (Host-based Intrusion Detection System) çözümüdür.
Log analizi, tehdit tespiti, uyumluluk takibi (PCI-DSS, HIPAA, GDPR), dosya bütünlüğü izleme ve güvenlik açığı değerlendirmesi gibi çok çeşitli güvenlik işlevlerini tek bir platformda sunar.
🧱 Vazuh'un Temel Bileşenleri:
Bileşen Açıklama
Agent İzlenen istemci makinelerde kurulur (Windows, Linux, macOS)
Manager Tüm ajanlardan log toplayan ve analiz eden sunucudur
Elastic Stack (Opsiyonel) Logları görselleştirmek için kullanılır (Kibana + Elasticsearch)
API Rest API üzerinden otomasyon ve harici sistemlerle entegrasyon sağlar
Dashboard Kullanıcı dostu web arayüzü (Kibana tabanlı)
🛡️ Neler Yapar?
✅ Gerçek Zamanlı Log Analizi
✅ Dosya Bütünlüğü İzleme (FIM)
✅ Zararlı Davranış Tespiti (Rootkit, malware, privilege escalation vs.)
✅ Güvenlik Açığı Tespiti (NVD veritabanına göre)
✅ Konfigürasyon Değerlendirmesi
✅ PCI-DSS, HIPAA, GDPR gibi uyumluluk raporları
✅ SIEM entegrasyonu & tehdit istihbaratı
🔁 Çalışma Mantığı
Ajan, sistem olaylarını ve logları toplar
Bu loglar yöneticilere (manager) gönderilir
Manager üzerindeki kurallar, tehditleri analiz eder
Elasticsearch + Kibana ile görselleştirilir
Alarm üretildiğinde SIEM'e aktarılabilir ya da otomatik aksiyon alınabilir
📦 Örnek Kullanım Senaryoları
Windows sunucularında RDP brute-force tespiti
Linux makinelerde yetki yükseltme girişimlerinin izlenmesi
Web sunucularında HTTP 500 hatalarının artışı
Dosya sistemindeki izinsiz değişikliklerin loglanması
PCI-DSS uyumluluk kontrolü raporlamak
Kurulum
Manager kurmak (Ubuntu örneği)
curl -s https://packages.wazuh.com/install.sh | sudo bash