(51)2312.5100 comercial@unirede.net

Como o Monitoramento de Integridade de Arquivos (FIM) do Wazuh ajuda a detectar ameaças invisíveis

por | 23 jan, 2025 | Monitoramento, Segurança, Wazuh | 0 Comentários

Artigo desenvolvido por Paulo Deolindo, Consultor da Unirede.

Introdução

O Wazuh é uma poderosa plataforma de segurança open source que combina recursos de monitoramento e resposta a incidentes. Projetado para atuar como uma solução completa de SIEM (Security Information and Event Management) e XDR (Extended Detection and Response), ele ajuda organizações a proteger seus ativos digitais em diferentes tipos de ambientes, sejam eles on-premises, híbridos ou na nuvem.

Como software de código aberto, o Wazuh oferece transparência e flexibilidade: qualquer pessoa pode verificar seu código, contribuir para seu desenvolvimento e adaptar a ferramenta às necessidades específicas da sua organização, sem custos de licenciamento. Isso o torna uma escolha atrativa para empresas privadas e até órgãos públicos que buscam soluções de segurança escaláveis e economicamente viáveis.

 

Principais Funcionalidades do Wazuh

Dentre muitas, podemos destacar as seguintes funcionalidades desta poderosa ferramenta: 

  • Dentre muitas, podemos destacar as seguintes funcionalidades desta poderosa ferramenta:
  • Detecção e correlação de eventos em tempo real: Identifica padrões de ameaças a partir de múltiplos logs.
  • Monitoramento de integridade de arquivos (FIM): Detecta alterações suspeitas em arquivos críticos.
  • Gerenciamento de vulnerabilidades: Integra-se com feeds de CVEs e scanners para monitorar falhas.
  • Conformidade e auditoria: Facilita a adequação a normas como PCI-DSS e GDPR.
  • Automação de resposta a incidentes: Executa ações como bloqueio de IPs e serviços com scripts personalizados ou nativos de cada sistema operacional.
  • Integração com Threat Intelligence: Potencializa a detecção com feeds de inteligência de ameaças.
  • Dashboards e relatórios com OpenSearch: Visualiza dados e cria alertas customizados de forma clara e eficiente.

O Cenário Atual de Segurança Cibernética no Brasil

O Brasil enfrenta uma crescente onda de ataques cibernéticos que afetam tanto empresas quanto órgãos públicos e cidadãos comuns. Com o aumento do uso de tecnologias digitais e a expansão do trabalho remoto, ataques de ransomware, phishing e invasões a sistemas corporativos se tornaram cada vez mais comuns. Segundo pesquisas recentes, o Brasil é um dos países mais atacados por hackers na América Latina, com um número crescente de vazamentos de dados e sequestro de informações críticas.

Considerando esse cenário, monitorar a integridade dos arquivos é uma boa pedida, pois muitos ataques sofisticados envolvem a modificação de arquivos fundamentais para se manterem escondidos até executarem suas ações maliciosas (bomba lógica). É aqui que entra o FIM (File Integrity Monitoring) do Wazuh, garantindo que qualquer mudança inesperada seja detectada e respondida de forma rápida e eficaz.

A importância do FIM

Imagine não saber que um arquivo importante foi alterado até que seja tarde demais. Muitos ataques começam com modificações discretas e indetectáveis nos arquivos. 

E até mesmo sem pensar em ataques cibernéticos, monitorar a integridade de arquivos de configurações de sistemas pode trazer inúmeros outros benefícios. Vamos citar alguns? 

  • Arquivo de configuração de um banco de dados. 
  • Arquivo contendo parâmetros de sistemas. 
  • Arquivo contendo dados pessoais de colaboradores. 

 

Todos esses são importantes arquivos que precisam ser monitorados e ao se detectar quaisquer alterações neles, gerar um evento, uma notificação, uma ação. 

 

Como o Wazuh pode ajudar nesse caso?

Como uma de suas funcionalidades mais fáceis de se usar, o Wazuh possui um trecho de sua configuração voltada ao FIM. Veja abaixo:

<!– File integrity monitoring –>
<syscheck>

<directories check_all=”yes” report_changes=”yes” realtime=”yes”>/root/my_directory</directories>

</syscheck>

Esse trecho de código configura a ferramenta para monitorar todo arquivo criado/alterado/apagado em /root/my_directory. Em seguida, criamos um arquivo:

# touch my.cat

 

  • Abrindo o evento para visualizar seus detalhes:

 

  • Perceba o arquivo criado. Agora, vamos alterá-lo: 

# echo “Elvis is the name of the cat” >> my.cat 

 

  • Abrindo o evento para visualizar seus detalhes:

 

  • E agora, apagando o arquivo: 

# rm my.cat 

 

Se desejar, podes também abrir o evento comAbrindo o evento para visualizar seus detalhes.
A detecção durante a criação, posterior alteração e deleção de arquivo em diretório indicado no sistema foi realizada com sucesso e em tempo real.

Para seguir, poderíamos usar as features de “Alerting and Notifications”, enviando mensagens aos administradores do sistema quanto ao problema em questão (esse fica para outro blogpost, ok?)

 

Cenários reais:

  • Linha 1: cuidando das configurações de um banco de dados 
  • Linha 2: cuidando das configurações do sistema de logs gerais 
  • Linha 3: cuidando do cadastro de usuários de um sistema 

 

<directories check_all=”yes” report_changes=”yes” realtime=”yes”> /etc/mysql/mariadb.conf.d/</directories> 

<directories check_all=”yes” report_changes=”yes” realtime=”yes”> /etc/rsyslog.conf</directories> 

<directories check_all=”yes” report_changes=”yes” realtime=”yes”> /etc/passwd</directories> 

Integrações:

O Wazuh pode ser integrado à outras ferramentas open source ou proprietárias para estender suas funcionalidades. Uma dessas integrações é com YARA.

YARA é um software open source que ajuda na camada de Threat Intelligence e permite ao FIM avaliar não apenas a criação ou alteração de arquivos, mas avalia também seu código para encontrar padrões maliciosos (textos os binários. Esta integração, vemos em nosso curso: Wazuh – SIEM & XDR.

Com o YARA, também é possível que o Wazuh se integre à tecnologias GPT para buscar informações sobre o software encontrado, enriquecendo o evento. Veja um exemplo de dado enriquecido usando uma integração entre Wazuh e chatGPT: 
 

Conclusão

Manter a integridade dos seus arquivos é essencial para proteger sua infraestrutura. Com o Wazuh, essa tarefa é fácil e eficiente, gerando evidências claras de realização e facilitando a demonstração de conformidade da empresa e sua seriedade com as disciplinas de Segurança da Informação e Segurança Cibernética.

Quer saber mais sobre como automatizar respostas a incidentes? Confira nosso próximo post!

Enviar Comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *