หน้าหลัก » Wazuh Tutorial » Wazuh Tutorial

Wazuh Tutorial



Wazuh: Open Source XDR และ SIEM ที่ตอบโจทย์ Cybersecurity ยุคใหม่

Wazuh SIEM

ทำไมต้อง XDR และ SIEM

ภัยคุกคามทางไซเบอร์ในปัจจุบันไม่ได้มาแค่จากมัลแวร์หรือการเจาะระบบธรรมดาอีกต่อไป แต่ยังรวมถึงการโจมตีแบบ Advanced Persistent Threats (APT), การโจมตีผ่านซัพพลายเชน, การโจมตีแบบ Zero-day และการใช้ Social Engineering ที่ซับซ้อนขึ้นเรื่อย ๆ ทำให้การรักษาความปลอดภัยต้องก้าวไกลกว่าเดิม

เครื่องมือที่องค์กรส่วนใหญ่เลือกใช้คือ SIEM (Security Information and Event Management) และ XDR (Extended Detection and Response)

  • SIEM: ทำหน้าที่เก็บรวบรวม วิเคราะห์ และแจ้งเตือนเหตุการณ์จาก Log และ Event ต่าง ๆ
  • XDR: ยกระดับจาก SIEM โดยรวมข้อมูลจากหลายแหล่ง (endpoint, network, cloud, identity) เพื่อตรวจจับและตอบสนองแบบอัตโนมัติ

แต่โซลูชันเชิงพาณิชย์ที่มีฟีเจอร์ครบครัน มักมีราคาสูง ติดสัญญาล็อกอิน และไม่สามารถปรับแต่งได้ตามความต้องการจริงของแต่ละองค์กร

Wazuh คืออะไร

Wazuh คือแพลตฟอร์ม Open Source XDR และ SIEM ที่ได้รับความนิยมทั่วโลก ด้วยความสามารถในการรวบรวม วิเคราะห์ และตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้แบบเรียลไทม์ จุดเด่นหลักคือเป็น ซอฟต์แวร์โอเพ่นซอร์ส ที่เปิดให้ใช้งานฟรี ปรับแต่งได้ตามต้องการ และมีชุมชนผู้ใช้ที่แข็งแกร่ง

คุณสมบัติหลักของ Wazuh

  • Log Data Collection – รองรับการเก็บ Log จากระบบปฏิบัติการ, แอปพลิเคชัน, อุปกรณ์เครือข่าย, Cloud provider และ Container
  • Threat Detection & Rules Engine – มาพร้อม Rule สำหรับตรวจจับพฤติกรรมผิดปกติและการโจมตีไซเบอร์ เช่น Brute Force, SQL Injection, Privilege Escalation
  • Active Response – สามารถสั่งบล็อก IP, ปิด process อันตราย หรืออัปเดตไฟร์วอลล์ได้อัตโนมัติ เมื่อพบเหตุการณ์ต้องสงสัย
  • File Integrity Monitoring (FIM) – ตรวจสอบความเปลี่ยนแปลงของไฟล์ที่สำคัญ เช่น ไฟล์ระบบหรือไฟล์คอนฟิก เพื่อป้องกันการแก้ไขโดยไม่ได้รับอนุญาต
  • Vulnerability Detection – ตรวจสอบแพกเกจและระบบปฏิบัติการเทียบกับฐานข้อมูล CVE เพื่อหาช่องโหว่ที่ยังไม่ได้แก้ไข
  • Compliance Monitoring – มีโมดูลสำหรับตรวจสอบการปฏิบัติตามมาตรฐานความปลอดภัย เช่น GDPR, HIPAA, PCI DSS, NIST
  • Scalability – ออกแบบมาให้รองรับการใช้งานตั้งแต่ระบบเล็ก ๆ ไปจนถึงองค์กรใหญ่ที่มี Agent หลายหมื่นเครื่อง

สถาปัตยกรรมของ Wazuh

สถาปัตยกรรมของ Wazuh

Wazuh ประกอบด้วย 3 ส่วนหลัก

  • Wazuh Agent: ติดตั้งบนเครื่องเซิร์ฟเวอร์, Endpoint, Container หรือ VM เพื่อเก็บ Log และส่งไปยัง Wazuh Manager
  • Wazuh Manager: หัวใจหลักของระบบ ทำหน้าที่วิเคราะห์เหตุการณ์, จัดการ Rule, ประมวลผลข้อมูล และเชื่อมต่อกับ Threat Intelligence
  • Wazuh Indexer และ Dashboard: เก็บข้อมูลเชิงลึกและแสดงผลผ่าน Web UI ที่ใช้งานง่าย

สถาปัตยกรรมแบบ Distributed นี้ ทำให้ Wazuh สามารถรองรับองค์กรทุกขนาด และเพิ่มเครื่องเพื่อกระจายโหลดได้ตามการเติบโต

จุดแข็งของ Wazuh เทียบกับ SIEM เชิงพาณิชย์

  • ต้นทุนต่ำกว่า: ใช้งานฟรี ไม่มีค่า License สามารถลงทุนเฉพาะด้าน Hardware หรือ Cloud
  • โอเพ่นซอร์ส: โปร่งใส ตรวจสอบโค้ดได้ ลดความเสี่ยงจาก Vendor Lock-in
  • ปรับแต่งได้สูง: สร้าง Rule, Integration และการตอบสนองตาม Workflow ขององค์กรเองได้
  • Community & Enterprise Support: มีเอกสาร, ฟอรั่ม, GitHub และสามารถซื้อบริการซัพพอร์ต Enterprise ได้

ตัวอย่างการใช้งานจริง

  • องค์กรขนาดเล็ก: ใช้ Wazuh ติดตั้งบน VM เพียงไม่กี่เครื่อง เพื่อเก็บ Log จาก Firewall, Web Server, และ Workstation
  • องค์กรขนาดกลาง – ใหญ่: ใช้ Wazuh ร่วมกับ ElasticSearch Cluster เพื่อรองรับ Agent จำนวนหลายหมื่นเครื่อง เก็บ Log หลาย TB ต่อวัน พร้อม Active Response อัตโนมัติ
  • Cloud & Hybrid: รองรับการเก็บ Log จาก AWS CloudTrail, Azure, GCP, Kubernetes และ Docker