Инвентаризируем контейнеры с помощью Wazuh-агента

Вот важная новость с фронта ИИ: efer1992 только что Инвентаризируем контейнеры с помощью Wazuh-агента 9 мин 9 Блог компании Selectel Информационная безопасность * Open source * IT-инфраструктура * DevOps * Контейнерные среды меняются быстро: новые образы разворачиваются автоматически, конфигурации обновляются в CI/CD-пайплайнах. Без непрерывной инвентаризации вы не знаете, что именно запущено прямо сейчас: какой образ, с каким дайджестом, из какого реестра, с какими привилегиями. На практике это означает, что небезопасная конфигурация или неподконтрольный образ могут месяцами работать незамеченными в вашей инфраструктуре.

И позднее, когда возникнет инцидент или аудит, придется выяснять вручную, какие контейнеры были запущены и соответствуют ли они вообще требованиям безопасности. Автоматическая инвентаризация позволяет превратить эту информацию в события мониторинга и получать уведомления сразу же после появления, например, «рискованных» конфигураций. На связи Андрей, руководитель направления безопасности облака в Selectel.

Технические детали

Ранее я рассказывал про сам инструмент Wazuh и его функциональность, а в этой статье покажу пример использования механизма wodle command на практической задаче. Wodle (сокращение от Wazuh module) — это модуль, который расширяет возможности агента. Он предназначен для выполнения целого ряда задач от сбора данных из внешних источников до запуска сканеров безопасности или выполнения пользовательских сценариев.

Проще говоря, это легковесный «плагин» к агенту Wazuh. Он работает в фоновом режиме, выполняет свою задачу, а результаты в виде логов отправляет менеджеру для дальнейшего анализаВкратце об архитектуре решенияСхема потока данных выглядит так: скрипт запускается агентом Wazuh по расписанию, обращается к Docker CLI и выводит JSON в stdout. Wazuh перехватывает вывод и отправляет его менеджеру в виде отдельных событий.

Security Center Рассказываем о лучших практиках и средствах ИБ, требованиях и изменениях в законодательстве. Скрипт инвентаризацииПерейдем к самому скрипту. Он совместим с любым окружением Linux.

Отраслевые последствия

Сохраните его по пути /var/ossec/custom-scripts/container_inventory. sh и выдайте права на исполнение. /bin/sh # Проверяем наличие docker и доступность демона command -v docker >/dev/null 2>&1 exit 0 docker info >/dev/null 2>&1 exit 0 docker ps --format "{{.

ID}}" | while IFS="|" read -r name cid; do image=$(docker inspect --format '{{. Image}}' "$cid" 2>/dev/null) && continue # Разбиваем repo:tag lastpart="${image##*/}" if echo "$lastpart" | grep -q ':'; then tag="${lastpart##*:}" repo="${image%:${tag}}" else tag="latest" repo="$image" fi # Определяем реестр по первому сегменту пути first="${repo%%/*}" if ; then registry="docker. io" elif echo "$first" | grep -qE "\\.

|:"; then registry="$first" else registry="docker. io" fi # Digest digests=$(docker image inspect --format "{{json .

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.