Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!

Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!

Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej

Zastosowanie Wazuha w reagowaniu na incydenty. TOP 10 rozwiązań od sekuraka

09 lipca 2026, 13:56 | W biegu | 0 komentarzy

Wykrycie zagrożenia to dopiero początek. Nawet najlepszy alert nie zatrzyma atakującego, jeżeli za jego wygenerowaniem nie pójdzie szybka i adekwatna reakcja.

Wazuh może nie tylko zbierać logi i wykrywać podejrzane zdarzenia. Dzięki mechanizmom Active Response, własnym skryptom oraz integracjom z zewnętrznymi systemami może również automatycznie blokować atakujących, izolować zagrożone urządzenia, zatrzymywać złośliwe procesy i przekazywać incydenty do dalszej obsługi. 

Chcesz wiedzieć więcej? 15 lipa wpadaj na bezpłatne szkolenie, podczas którego Tomek Turba z ekipy sekuraka pokaże na żywo 10 praktycznych zastosowań Wazuha w reakcji na incydenty bezpieczeństwa 🛡️

Zapisy

Poniżej znajdziesz najbardziej (naszym zdaniem) praktyczne reakcje na incydenty. Lista opiera się głównie na zastosowaniach Wazuha, ale jest na tyle uniwersalna, że spokojnie może być częściowo użyta przy okazji korzystania z innych systemów SIEM.

System automatycznie reaguje na wykrycie ataku i blokuje adres źródłowy bezpośrednio na firewallu hosta. Możliwe jest stosowanie zarówno blokad czasowych, jak i bezterminowych. Rozwiązanie inteligentnie radzi sobie z atakującymi, którzy pojawiają się ponownie (np. z innych adresów lub po upływie blokady), a jednocześnie zawiera mechanizmy ochronne zapobiegające przypadkowemu zablokowaniu zaufanych adresów IP.

System reaguje na ataki typu brute-force oraz password spraying, automatycznie blokując konto lokalne użytkownika. Potrafi również wykrywać i reagować na podejrzane logowania. Rozwiązanie uwzględnia różnice w mechanizmach blokady pomiędzy systemem Linux, Windows oraz środowiskiem domenowym (Active Directory). Blokada uruchamiana jest tylko przy spełnieniu bezpiecznych warunków, co minimalizuje ryzyko zablokowania legitnych użytkowników.

W przypadku podejrzenia przejęcia urządzenia system ogranicza jego komunikację sieciową, wykorzystując lokalne reguły firewalla. Izolacja jest na tyle precyzyjna, że pozostawia otwarte niezbędne kanały komunikacji potrzebne do dalszej analizy incydentu. Może być realizowana zarówno przez mechanizm Active Response, jak i integracje z zewnętrznymi rozwiązaniami. Po zakończeniu analizy dostępna jest jasna procedura bezpiecznego przywracania hosta do normalnej pracy.

Po wykryciu podejrzanego pliku system automatycznie przenosi go do bezpiecznej lokalizacji kwarantanny. Wykorzystuje przy tym dane z File Integrity Monitoring, reguły YARA oraz informacje z systemów antywirusowych. Plik jest odpowiednio zabezpieczany do celów dalszej analizy, a zagrożenie jest usuwane lub neutralizowane, dzięki czemu nie może dalej się rozprzestrzeniać.

System wykrywa podejrzane procesy i połączenia wychodzące, identyfikuje proces odpowiedzialny za reverse shell, a następnie bezpiecznie go zatrzymuje. Przed wykonaniem akcji zbiera kluczowe informacje diagnostyczne. Mechanizm zawiera zabezpieczenia chroniące przed przypadkowym zatrzymaniem legalnych aplikacji krytycznych dla działania systemu.

W razie wykrycia zatrzymania lub nieprawidłowego działania usługi system automatycznie przywraca ją do pracy. Reaguje również na nieautoryzowane zmiany w plikach konfiguracyjnych. Po restarcie weryfikuje poprawność działania usługi, a w przypadku powtarzających się awarii eskaluje incydent do zespołu SOC.

System inteligentnie dobiera alerty wymagające natychmiastowej uwagi i przekazuje je do zespołu SOC wraz z kluczowym kontekstem incydentu. Powiadomienia mogą być wysyłane poprzez e-mail, komunikatory oraz webhooki. Dzięki odpowiedniej konfiguracji znacząco ogranicza szum informacyjny, dostarczając analitykom tylko wartościowe informacje wraz z niezbędnym kontekstem.

Na podstawie alertu system automatycznie tworzy zgłoszenie serwisowe, przekazując m.in. identyfikator hosta, użytkownika oraz regułę, która wyzwoliła reakcję. Do zgłoszenia dołączane są fragmenty logów, a także informacje o automatycznych działaniach podjętych przez system. Możliwe jest również ustawienie odpowiedniego priorytetu oraz późniejsza aktualizacja statusu incydentu.

Po przeanalizowaniu incydentu system automatycznie pozyskuje nowe Indicators of Compromise (IOC), takie jak: adresy IP, domeny, skróty plików czy inne wskaźniki. Dodaje je do list CDB oraz integruje z zewnętrznymi źródłami Threat Intelligence. Dzięki temu IOC są automatycznie wyszukiwane na pozostałych hostach w infrastrukturze, a każdy identyfikator posiada określony okres ważności.

Po wykryciu zdarzenia system samodzielnie zbiera informacje o hoście, zalogowanym użytkowniku i aktywnych procesach. Sprawdza wcześniejsze alerty dotyczące tego samego zasobu, dokonuje korelacji z posiadanymi IOC oraz wzbogaca incydent o dodatkowy kontekst. Na koniec przygotowuje wstępne podsumowanie dla analityka SOC i sugeruje dalszą ścieżkę reakcji oraz eskalacji.

Wazuh jest naprawdę fajnym narzędziem, którym powinni się zainteresować przede wszystkim administratorzy systemów i sieci, analitycy SOC, członkowie zespołów Blue Team, specjaliści Incident Response i DFIR, administratorzy bezpieczeństwa IT, osoby wdrażające lub rozwijające system SIEM oraz osoby odpowiedzialne za automatyzację reakcji na incydenty.

15 lipca Tomek Turba w ramach szkolenia (będą dwa terminy do wyboru: godz. 10:00 i 19:00) zaprezentuje zarówno proste akcje wykonywane na chronionym systemie, jak i bardziej rozbudowane scenariusze automatyzujące pracę zespołu SOC, ważne zwłaszcza w świetle ustawy KSC2.

Bez teorii dla teorii – skupimy się na reakcjach, które można zastosować w rzeczywistym środowisku.

~ekipa sekurak.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz