ما هو wazuh وكيفية استخدامه وطريقة تثبيته ؟

في ظل تزايد الهجمات السيبرانية وتطور أدوات الهجوم، أصبح امتلاك نظام أمني قوي قادراً على كشف التهديدات وتحليل السجلات والاستجابة للحوادث ضرورة ملحّة لكل مؤسسة، سواء صغيرة أو كبرى. وسط هذا المشهد الأمني المعقد، يبرز Wazuh كحل مفتوح المصدر، ليقدم منصة شاملة لمراقبة الأنظمة، تحليل الأنشطة، واكتشاف السلوكيات المشبوهة. ما يميّز Wazuh فعلاً هو أنه مجاني، قوي، قابل للتوسع، وسهل الدمج مع حلول أخرى مثل Elasticsearch أو OpenSearch، ما يجعله خيارًا مثاليًا للمتخصصين في الشبكات، الأنظمة، والأمن المعلوماتي.

هذا المقال يقدم لك شرحًا احترافيًا ومفصلاً عن Wazuh، من تعريفه ومميزاته إلى كيفية استخدامه وخطوات تثبيته خطوة-بخطوة، ليكون مرجعًا متكاملاً يمكنك الاعتماد عليه سواء في مشروع دراسي أو في بيئة عمل حقيقية.

ما هو Wazuh؟

Wazuh هو منصة أمن مفتوحة المصدر مصممة لتمكين المؤسسات من مراقبة بنيتها التحتية، سواء كانت محلية (On-Premises) أو سحابية. يدمج النظام بين قدرات:

• تحليل السجلات واكتشاف التهديدات.
• كشف الثغرات الأمنية.
• مراقبة وحماية الملفات.
• الاستجابة التلقائية للحوادث.

باختصار، Wazuh يعمل كعين ساهرة تراقب كل ما يحدث داخل الشبكة وتبلغك بأي محاولة اختراق أو نشاط غير طبيعي.

مكوّنات Wazuh الأساسية

لفهم كيفية عمل Wazuh، يجب الإلمام بمكوناته الأساسية:

1- Wazuh Agent

عميل يتم تثبيته على الأجهزة (Linux، Windows، macOS).
وظيفته جمع السجلات والأحداث ومعلومات النظام وإرسالها إلى الـ WAZUH MANAGER.

2- Wazuh Manager

السيرفر الذي يثبت عليه Wazuh وهو العقل المدبر للنظام يقوم بـ:

–  تحليل السجلات (logs).
–  تطبيق القواعد الأمنية.
–  توليد التنبيهات.
– تنفيذ الاستجابة التلقائية.

Wazuh Indexer (OpenSearch) -3

مسؤول عن تخزين السجلات وتسهيل البحث والتحليل.

4- Wazuh Dashboard

واجهة رسومية متقدّمة تتيح:

• تحليل السجلات بسهولة
• مراقبة الـ Agents
• بناء لوحات بصريّة
• تتبع التنبيهات

كيف يعمل Wazuh؟

1. Agent يجمع البيانات من الجهاز.
2. يرسلها إلى Manager عبر قناة مشفرة.
3. يتم إرسال النتائج إلى Indexer لتخزينها وفهرستها.
4. يتم عرض البيانات والإنذارات في Dashboard.

5. يمكن للمسؤول الأمني اتخاذ إجراءات أو تفعيل استجابة تلقائية.

ماذا يقدّم Wazuh للمؤسسات؟

1. تحليل متقدّم للسجلات Log Analysis

يجمع Wazuh السجلات من مصادر عديدة:

• نظام التشغيل
• البريد الإلكتروني
• الشبكات
• التطبيقات

ويحللها وفق قواعد مخصّصة للكشف عن الأنشطة الضارة.

2. كشف الثغرات Vulnerability Detection

يقارن حالة النظام مع قواعد CVE لاكتشاف الثغرات الأمنية.

3. مراقبة سلامة الملفات FIM

يكشف أي تعديل، حذف أو إنشاء ملف مهم على الأنظمة المراقبة.

4. مراقبة الامتثال Compliance Monitoring

يدعم معايير مثل:

• HIPAA
• PCI-DSS
• NIST
• GDPR

مما يسهل عملية التدقيق الأمني.

5. الاستجابة التلقائية

يمكن لـ Wazuh تنفيذ إجراءات تلقائية، مثل:

• حظر IP
• إرسال تقرير
• تنفيذ سكريبت PowerShell أو Bash
• إيقاف خدمة

خطوات تثبيت Wazuh على Ubuntu

فيما يلي طريقة رسمية ومباشرة لتثبيت Wazuh (Manager + Indexer + Dashboard) على Ubuntu 22.04.

يمكنك تحميل هذا الإصدار من الرابط الرسمي  ==> https://releases.ubuntu.com/jammy

الخطوة 1: تحديث نظام Ubuntu وتثبيت Wazuh

قبل التثبيت، يتم تحديث نظام Ubuntu لضمان أن جميع الحزم حديثة ومتوافقة مع Wazuh.
الأمر:

يتم تنزيل المُثبّت الرسمي لـ Wazuh من أجل أتمتة كامل إجراءات التثبيت.
الأمر:

                               curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh

يتم تشغيل السكريبت باستخدام الخيار ‎-a، مما يسمح بتثبيت Wazuh Manager وWazuh Indexer (OpenSearch) وWazuh Dashboard تلقائيًا مع الشهادات الضرورية.

                                                        sudo bash ./wazuh-install.sh -a

في نهاية عملية التثبيت، يعرض السكريبت عنوان الويب الخاص بواجهة Wazuh Dashboard إضافةً إلى بيانات تسجيل الدخول الخاصة بالمدير (اسم المستخدم وكلمة المرور) التي تم إنشاؤها تلقائيًا.

يمكن الوصول إلى واجهة Wazuh عبر متصفح الويب باستخدام الرابط الذي تم توفيره، ويكون عادةً بالصيغة:
https://<IP_serveur> (بروتوكول https وليس http).

الخطوة 2: تثبيت Agent على Linux

فتح PowerShell كمسؤول على Windows وقم بنسخ ولصق الأمر الذي يقدمه نظام wazuh لتثبيت عميل Windows:

بعد تنفيذ الأمر الأول في نافذة PowerShell وتثبيت عميل Wazuh بنجاح، يقوم النظام بعرض أمرٍ ثانٍ مخصّص لإتمام عملية التسجيل والربط مع الخادم. نقوم كذلك بنسخ هذا الأمر وتشغيله داخل PowerShell بصلاحيات المسؤول، ليكتمل الإعداد ويتم تفعيل العميل على جهاز Windows.