แนะนำ Software SIEM (Security Information and Event Management) แบบ Open Source
Wazuh เป็นระบบ SIEM (Security Information and Event Management) + XDR/EDR แบบ Open Source ที่ช่วยตรวจจับภัยคุกคาม วิเคราะห์ความปลอดภัย และตอบสนองต่อเหตุการณ์ด้านความปลอดภัย รองรับทั้ง Windows, Linux, macOS และ Cloud
🔥 Wazuh เหมาะสำหรับ 🔥
✅ ป้องกันและตรวจจับมัลแวร์, Rootkit, Ransomware
✅ ตรวจสอบ Log และพฤติกรรมผู้ใช้ (User Behavior Monitoring)
✅ วิเคราะห์ภัยคุกคามเครือข่ายและเซิร์ฟเวอร์
✅ เชื่อมต่อกับ SIEM เช่น Elastic Stack, Splunk
🚀 คุณสมบัติหลักของ Wazuh
✅ 1. Endpoint Detection & Response (EDR)
- เฝ้าระวังพฤติกรรมของเครื่อง Endpoint (Windows, Linux, macOS)
- ตรวจจับและแจ้งเตือนเมื่อพบไฟล์หรือโปรเซสที่ผิดปกติ
✅ 2. Log Analysis & Security Monitoring (SIEM)
- วิเคราะห์ Log จาก OS, Firewall, IDS/IPS, Web Server ฯลฯ
- ใช้ Machine Learning ช่วยตรวจจับพฤติกรรมที่น่าสงสัย
✅ 3. Rootkit & Malware Detection
- ตรวจจับ Rootkit, Keylogger, Fileless Malware
- ใช้ร่วมกับ ClamAV เพื่อเพิ่มความสามารถในการสแกนมัลแวร์
✅ 4. Intrusion Detection System (IDS)
- วิเคราะห์ทราฟฟิกและพฤติกรรมของไฟล์ต้องสงสัย
- ใช้ร่วมกับ Suricata หรือ Zeek เพื่อเสริมการตรวจจับ
✅ 5. Vulnerability Detection & Patch Management
- ตรวจสอบช่องโหว่ของซอฟต์แวร์ และแจ้งเตือนให้อัปเดตแพตช์
- วิเคราะห์ความเสี่ยงของระบบปฏิบัติการ
✅ 6. SIEM Integration & Web Dashboard
- รองรับ Elasticsearch, Kibana (ELK Stack), Splunk
- มี Web UI สำหรับ Monitoring และ Report
🎯 การติดตั้งและใช้งาน Wazuh
📌 โครงสร้างของ Wazuh
🖥 Wazuh Agent → ติดตั้งบน Windows, Linux, macOS เพื่อเก็บ Log และตรวจจับภัยคุกคาม
🌍 Wazuh Server → วิเคราะห์ข้อมูลจาก Agent และจัดเก็บลง Elasticsearch
📊 Wazuh Dashboard (Kibana UI) → ใช้ดูข้อมูลความปลอดภัยแบบกราฟิก
📥 ดาวน์โหลด Wazuh
Requirements
| Agents | CPU | RAM | Storage (90 days) |
|---|---|---|---|
| 1–25 | 4 vCPU | 8 GiB | 50 GB |
| 25–50 | 8 vCPU | 8 GiB | 100 GB |
| 50–100 | 8 vCPU | 8 GiB | 200 GB |
Operating system
| Amazon Linux 2, Amazon Linux 2023 | CentOS 7, 8 |
| Red Hat Enterprise Linux 7, 8, 9 | Ubuntu 16.04, 18.04, 20.04, 22.04, 24.04 |
Installing Wazuh
curl -sO https://packages.wazuh.com/4.10/wazuh-install.sh && sudo bash ./wazuh-install.sh -aเมื่อผู้ช่วยเสร็จสิ้นการติดตั้ง ผลลัพธ์จะแสดงข้อมูลประจำตัวการเข้าถึงและข้อความที่ยืนยันว่าการติดตั้งเสร็จสมบูรณ์
INFO: --- Summary ---
INFO: You can access the web interface https://<WAZUH_DASHBOARD_IP_ADDRESS>
User: admin
Password: <ADMIN_PASSWORD>
INFO: Installation finished.เข้าถึงอินเทอร์เฟซเว็บ Wazuh ด้วยhttps://<WAZUH_DASHBOARD_IP_ADDRESS>ข้อมูลประจำตัวของคุณ:
- ชื่อผู้ใช้ :
admin - รหัสผ่าน :
<ADMIN_PASSWORD>
