• בלוג
  • Wazuh: המדריך המקיף לניטור אבטחת שרתים בקוד פתוח

Wazuh: המדריך המקיף לניטור אבטחת שרתים בקוד פתוח

Wazuh: המדריך המקיף לניטור אבטחת שרתים בקוד פתוח

פורסם ב 09-07-2026

information-security

כל שרת מייצר זרם קבוע של אירועים: התחברויות, ריצת תהליכים, שינויים בקבצים ועדכונים. רובם שגרתיים, אבל בתוך הרעש הזה מסתתרים לרוב הסימנים הראשונים לפריצה. כדי לזהות אותם בזמן אמת נדרשת שכבת ניטור אבטחה, ו-Wazuh היא הפלטפורמה הבולטת ביותר למשימה הזו בעולם הקוד הפתוח.

חומת אש וגיבוי הם בסיס הכרחי, אך הם לא מספרים לכם מה קורה בתוך השרת עצמו. לכן במדריך הזה נסקור את הפלטפורמה לעומק: מה היא, איך היא בנויה, אילו יכולות היא מציעה, איך פורסים אותה, ומתי כדאי לשקול שירות מנוהל. לצד כל נושא נפנה גם אל התיעוד הרשמי, כדי שתוכלו להעמיק.

מה זה Wazuh ומאיפה היא הגיעה

Wazuh היא פלטפורמת אבטחה חופשית ובקוד פתוח לניטור, זיהוי איומים ותגובה. היא התפתחה במקור מתוך OSSEC, מערכת ותיקה לזיהוי חדירות מבוססת-מארח (HIDS). עם השנים היא הורחבה לפלטפורמה שלמה שמאחדת שתי קטגוריות מוכרות: SIEM, כלומר איסוף וניתוח מרוכז של לוגים ואירועי אבטחה, ו-XDR, כלומר זיהוי ותגובה על פני נקודות הקצה, הרשת והענן.

בפועל, Wazuh אוספת נתונים מהשרתים והמכשירים שאתם מנטרים, מחילה עליהם חוקי זיהוי, ומתריעה כשמתגלה דפוס חשוד. הפרויקט נתמך בקהילה גדולה, מתועד היטב באתר הרשמי, ורץ על מגוון רחב של מערכות: הפצות לינוקס, Windows, macOS, קונטיינרים וסביבות ענן.

למה ניטור אבטחה הוא שכבה נפרדת

קל לחשוב שאם יש חומת אש, אימות דו-שלבי, תעודת SSL וגיבוי, השרת מכוסה. כל אלה שכבות הכרחיות, אבל כל אחת מהן עונה על שאלה אחרת. חומת אש קובעת מי מורשה להתחבר, אך היא לא מספרת לכם מה עשה מי שכבר נכנס. גיבוי מאפשר לשחזר אחרי אסון, אך הוא לא מזהה את האסון בזמן שהוא מתרחש.

ניטור אבטחה הוא השכבה שמשלימה את התמונה. הוא רואה את הפעולות בתוך השרת ומצליב אותן לדפוסים של תקיפה, וכך מצמצם את הפער בין הרגע שבו תוקף נכנס לרגע שבו אתם יודעים על כך. למי שרוצה להעמיק בהבדלים בין גישות הזיהוי, יש הרחבה במדריך ההבדל בין EDR, MDR ו-XDR.

הארכיטקטורה של Wazuh: ארבעת הרכיבים

המבנה של המערכת כולל סוכן רב-פלטפורמי ושלושה רכיבים מרכזיים:

  • סוכן (Agent): מותקן על נקודות הקצה, אוסף נתוני אבטחה ומעביר אותם לשרת לניתוח.
  • שרת / מנהל (Server): מנתח את הנתונים באמצעות מפענחים (decoders) וחוקים (rules). שרת יחיד מסוגל לנתח נתונים מאלפי סוכנים, ולהתרחב לרוחב כאשכול.
  • רכיב האינדוקס והאחסון (Wazuh Indexer): מנוע חיפוש וניתוח בטקסט מלא, שמאנדקס ושומר את ההתרעות ומאפשר לחפש בהן במהירות.
  • לוח מחוונים (Dashboard): ממשק אינטרנטי להצגת נתונים, חיפוש, דוחות וניהול.

זרימת הנתונים פשוטה. הסוכן שולח מידע לשרת, השרת מנתח ומייצר התרעות, וההתרעות עוברות לאינדקסר ומשם ללוח המחוונים. הסוכנים מתקשרים עם השרת בערוץ מוצפן, בברירת מחדל דרך יציאות 1514 ו-1515. אפשר לפרוס הכול על שרת יחיד להתנסות, או בפריסה מרובת-צמתים לסביבות גדולות שדורשות זמינות גבוהה.

סוכן ה-Wazuh: איפה הוא רץ ומה הוא אוסף

הסוכן הוא תוכנה קלה, שצורכת בממוצע כ-35MB זיכרון. אפשר לפרוס אותו על מחשבים ניידים, שרתים, מכונות וירטואליות, מופעי ענן וקונטיינרים. הוא נתמך על מגוון מערכות הפעלה, בהן Windows, הפצות לינוקס, macOS, וגם מערכות ותיקות כמו AIX ו-HP-UX.

רישום הסוכן הוא התהליך שבו הסוכן נרשם מול השרת ומתחיל לדווח. בנוסף, מכשירים שלא ניתן להתקין עליהם סוכן, כמו נתבים או ציוד רשת, יכולים לשלוח לוגים דרך syslog או דרך אינטגרציות API. כך גם הם נכנסים לתמונת הניטור.

איסוף וניתוח לוגים

איסוף וניתוח הלוגים הוא הבסיס של Wazuh. הסוכן אוסף לוגים ממערכת ההפעלה, משירותים ומאפליקציות, ומעביר אותם לשרת. שם הם עוברים שני שלבים: מפענחים שמחלצים מכל שורה את השדות המשמעותיים, וחוקים שמזהים אירועים בעלי משמעות אבטחתית ומייצרים התרעה.

למשל, ריבוי כשלי התחברות ברצף יזוהה כניסיון פריצה בכוח גס ויקבל התרעה ייעודית. בנוסף, אפשר לשלוח לשרת לוגים ממכשירים נוספים דרך syslog, ולרכז את כל הראות במקום אחד. מכיוון שמערכת המפענחים והחוקים פתוחה, אפשר גם לכתוב חוקים משלכם ולהתאים את הזיהוי לסביבה שלכם.

ניטור שלמות קבצים (FIM)

מודול ניטור שלמות הקבצים עוקב אחר קבצים ותיקיות רגישים, ומתריע כשמשתמש או תהליך יוצר, משנה או מוחק אותם. תחילה הוא מבצע סריקת בסיס ששומרת חתימה קריפטוגרפית של כל קובץ. לאחר מכן הוא משווה כל שינוי מול הבסיס, בסריקות תקופתיות וגם בזמן אמת.

מעבר לעצם השינוי, המודול מעשיר את ההתרעה במידע על מי ביצע אותו. בעזרת נתוני audit הוא משייך את השינוי למשתמש ולתהליך, ואף מדווח על התוכן המדויק שהשתנה בקובץ טקסט. כל האירועים מרוכזים במודול ייעודי בלוח המחוונים.

זיהוי פגיעויות ו-CVE

מודול זיהוי הפגיעויות מזהה תוכנות פגיעות המותקנות על נקודות הקצה. הסוכן אוסף מלאי תוכנה מכל שרת ושולח אותו לשרת, וזה מצליב אותו מול מאגר מודיעין הפגיעויות. המודול מופעל כברירת מחדל, ומתריע גם כשמתגלה פגיעות חדשה וגם כשפגיעות קיימת נפתרת בעקבות עדכון.

מידע הפגיעויות נאסף ממקורות מובילים, בהם ה-NVD, ‏Canonical, ‏Debian, ‏Red Hat, ‏Microsoft ו-CISA. כתוצאה מכך, ברגע שפרצה מתפרסמת אתם יודעים אילו שרתים חשופים ודורשים עדכון, במקום לסרוק את כל המערך ידנית.

הערכת תצורת אבטחה (SCA)

מודול הערכת תצורת האבטחה בודק שהשרתים עומדים במערך כללים של הקשחה. הסריקות מבוססות על קובצי מדיניות בפורמט YAML, שקל לקרוא ולהרחיב, והן בודקות קיום של קבצים, תיקיות, מפתחות רישום ותהליכים.

Wazuh מגיעה עם מדיניות מובנית המבוססת ברובה על מדדי ה-CIS Benchmarks, סטנדרט מקובל להקשחה. יתרה מכך, הסוכן שולח רק את ההבדלים בין סריקה לסריקה, וכך חוסך בתעבורה. בשורה התחתונה אתם מקבלים תמונה מתמשכת של הגדרות שגויות, לצד המלצות לתיקון.

זיהוי תוכנות זדוניות ורוטקיטים

לצד הזיהוי מבוסס-החוקים, Wazuh כוללת מודול זיהוי תוכנות זדוניות עם רכיב Rootcheck. הוא מחפש חריגות שעשויות להעיד על תוכנה זדונית, ובברירת מחדל רץ כל 12 שעות. בין הטכניקות: השוואה מול חתימות רוטקיטים, זיהוי פורטים חבויים, ובדיקת קבצים בעלי הרשאות חריגות ותיקיות מוסתרות.

הגישה הזו, שמבוססת על זיהוי אנומליות, נועדה לתפוס גם תוכנות זדוניות שטכניקות מבוססות-חתימה עלולות לפספס. בנוסף, אפשר להעשיר את הזיהוי באמצעות אינטגרציות כמו VirusTotal ו-YARA.

תגובה אקטיבית (Active Response)

מעבר לזיהוי, Wazuh יכולה גם להגיב. מודול התגובה האקטיבית מריץ סקריפט על הסוכן או על השרת כאשר חוק בעל רמת חומרה מסוימת מופעל. כך אפשר להפוך התרעה לפעולה, למשל חסימת כתובת IP תוקפת או השבתת חשבון שנפרץ.

מיפוי ל-MITRE ATT&CK

Wazuh משלבת מודול מובנה בלוח המחוונים למסגרת MITRE ATT&CK, שממפה את ההתרעות לטקטיקות ולטכניקות תקיפה מוכרות. השיוך הזה עוזר להבין את ההקשר של אירוע, ולא רק את עצם התרחשותו. עבור צוותי אבטחה, זו דרך לתעדף אירועים ולחקור אותם בשפה מקצועית אחידה.

אבטחת ענן וקונטיינרים

Wazuh לא מוגבלת לשרתים מסורתיים. בתחום אבטחת הענן היא תומכת ב-AWS, ב-Azure וב-Google Cloud, ומנטרת בשתי רמות: ברמת נקודת הקצה, דרך הסוכן שרץ על מופע הענן, וברמת התשתית, דרך איסוף לוגי הפעילות מממשקי ה-API של הספק.

בתחום אבטחת הקונטיינרים, Wazuh מנטרת סביבות Docker ו-Kubernetes: אירועי זמן ריצה, לוגים של יישומים ובריאות המכולות. ב-Kubernetes אפשר לפרוס את הסוכן כ-DaemonSet, אחד לכל צומת, או כ-Sidecar לצד יישום מסוים.

תאימות רגולטורית

ארגונים רבים נדרשים לעמוד ברגולציות אבטחה. Wazuh מסייעת בכך על ידי מיפוי ההתרעות והבקרות למסגרות מקובלות, כמו PCI DSS, ‏HIPAA, ‏NIST 800-53 ו-GDPR. יכולות כמו ניטור שלמות קבצים, זיהוי פגיעויות והערכת תצורה נכנסות ישירות לדרישות אלה. עם זאת, חשוב לזכור שהכלי מסייע בעמידה בדרישות, אך התאימות עצמה תלויה גם בתהליכים ובמדיניות של הארגון. פירוט נוסף יש בתרחישי השימוש בתיעוד.

פריסה והתקנה: מה צריך ואיך מתחילים

הדרך המהירה להתנסות היא מדריך ההתחלה המהירה, שמתקין את שלושת הרכיבים המרכזיים על שרת יחיד בעזרת אשף. לסביבות ייצור יש מדריך התקנה מלא, וכן אפשרויות פריסה בקונטיינרים.

מבחינת משאבים, כדאי לתכנן מראש. הסוכן עצמו קל, אבל השרת והאינדקסר הם הליבה שדורשת זיכרון ושטח דיסק. הצריכה גדלה עם כמות האירועים ומדיניות השמירה, ולכן סביבה גדולה תעדיף פריסה מרובת-צמתים.

היכן לארח את Wazuh: שרת VPS בענן של JetServer

כדי להריץ את הליבה של Wazuh, כלומר השרת, האינדקסר ולוח המחוונים, צריך שרת לינוקס ייעודי. אפשר להקים אותו בתשתית שלכם, אבל עסקים רבים מעדיפים לארח אותו על שרת VPS בענן. כך מקבלים משאבים ייעודיים, גיבוי ותמיכה בלי להחזיק חומרה פיזית.

ב-JetServer אפשר לרכוש שרתי VPS מבוססי NVMe, עם משאבים ייעודיים, גיבויים יומיים ותמיכה מקצועית בעברית מסביב לשעון. השרתים ממוקמים בישראל, ולכן תיהנו מזמן תגובה נמוך ומקרבה לנתונים שלכם.

מי שמעדיף לא לתחזק גם את השרת עצמו יכול לבחור בשרתים מנוהלים (Cloud Managed Services) של JetServer, הכוללים ניטור, אבטחה, גיבויים וליווי DevOps ברמת התשתית. כך אתם מקבלים בסיס יציב ומאובטח להריץ עליו את Wazuh.

יתרונות ומגבלות שכדאי להכיר

לפני שמחליטים, שווה להסתכל על שני הצדדים בכנות.

יתרונות: Wazuh היא קוד פתוח ללא עלות רישוי. היא מרכזת מגוון רחב של יכולות בפלטפורמה אחת, גמישה וניתנת להתאמה, נתמכת בקהילה גדולה, ומתרחבת מכמה שרתים ועד מאות מכשירים ומעלה.

מגבלות: Wazuh היא כלי, לא שירות מנוהל. ההפעלה דורשת להקים ולתחזק את השרת, האינדקסר ולוח המחוונים, לכוונן חוקים כדי לצמצם התרעות שווא, ולתכנן אחסון וגיבוי. בנוסף, יש עקומת למידה, והאחריות על הזמינות והתחזוקה היא שלכם.

הפעלה עצמאית מול שירות מנוהל

מכיוון ש-Wazuh היא קוד פתוח, אפשר להתקין ולהפעיל אותה ללא עלות רישוי ובשליטה מלאה. לצוות עם ידע וזמן, זו אפשרות מצוינת. הצד השני הוא נטל התפעול: הקמה, כיוונון, אחסון, גיבוי ועדכונים לאורך זמן.

מי שמעדיף את יכולות הזיהוי בלי לתחזק את המערכת בעצמו יכול לבחור בשירות Wazuh מנוהל, למשל שירות Wazuh מנוהל של Suriq, שמפעיל עבור הלקוח את ליבת ה-Wazuh ומוסיף סביבה שכבה תפעולית. בסופו של דבר, הבחירה תלויה בגודל הצוות, במומחיות הפנימית ובכמה זמן אתם מוכנים להשקיע בתחזוקת הכלי לעומת בשימוש בו.

סיכום

Wazuh מציעה דרך נגישה, בקוד פתוח, להוסיף לשרתים שכבת ניטור אבטחה מקצה לקצה: איסוף וניתוח לוגים, ניטור שלמות קבצים, זיהוי פגיעויות והקשחה, זיהוי תוכנות זדוניות, תגובה אקטיבית ומיפוי ל-MITRE ATT&CK, הכול תחת ניהול מרוכז אחד. בין אם תפעילו אותה בעצמכם ובין אם דרך שירות מנוהל, העיקרון נשאר זהה: ככל שאתם רואים מוקדם יותר מה קורה בתוך השרת, כך אתם מגיבים מהר יותר.

שאלות נפוצות של Jetserver – כל מה שצריך לדעת

כן. Wazuh היא פלטפורמת קוד פתוח ללא עלות רישוי. נותרות רק עלויות התשתית שעליה היא רצה והזמן הנדרש להקמה ולתחזוקה.

Wazuh התפתחה מתוך OSSEC והרחיבה אותו משמעותית. נוספו יכולות SIEM, זיהוי פגיעויות, הערכת תצורה, לוח מחוונים גרפי ואינטגרציות ענן, מעבר לליבת ה-HIDS המקורית.

Wazuh משלבת את שתי הגישות. היא מספקת יכולות SIEM לאיסוף וניתוח לוגים מרוכז, לצד יכולות XDR לזיהוי ותגובה על פני נקודות הקצה, הרשת והענן.

ברוב המקרים כן, כי הסוכן מאפשר את הניטור המעמיק ביותר. מכשירים שלא תומכים בהתקנת סוכן יכולים לשלוח לוגים ל-Wazuh דרך syslog.

הסוכן קל וצורך בממוצע כ-35MB זיכרון. השרת והאינדקסר הם הליבה שדורשת תכנון קיבולת, ובסביבות גדולות מומלצת פריסה מרובת-צמתים.

אפשר לארח את Wazuh על שרת VPS בענן ייעודי. ב-JetServer, למשל, אפשר לרכוש שרתי VPS מבוססי NVMe בישראל, או לבחור בשרתים מנוהלים.

השותפים שלנו

  • js-partners-02
  • js-partners-03
  • nginx-js-partners-04
  • js-partners-06
  • mariadb-icon
  • docker-icon
  • nodejs