近期对Elastic与Wazuh的安全能力做了大致对比,对比方向偏向笔者个人实际使用场景,还有很多场景如SOAR、大模型等未对比覆盖,如下表格仅供大家参考:
| 能力\产品 | Elastic | Wazuh |
| 部署模式 | 本地部署/K8S部署/SaaS服务 | 本地部署/K8S部署/SaaS服务 |
| 扩展能力 | 分布式/弹性扩展 | 分布式/弹性扩展 |
| 采集能力 | 400+日志集成,支持自定义采集 | 40+日志集成,支持自定义采集 |
| 支持CS、S1、Froti、Cf等商业安全产品集成 | 商业安全产品日志集成能力差 | |
| 支持AWS、GCP、Azure公有云产品及服务日志采集 | 支持AWS、GCP、Azure公有云产品及服务日志采集 | |
| 提供WIN/MAC/LINUX EDR、CWPP的Agent | Wazuh Agent自身无日志采集能力,只能依赖Sysmon、Audit、Osquery | |
| 检测能力 | 内置检测规则1000+,内置规则告警噪音一般 | 内置检测规则160+,内置规则告警噪音较高 |
| 类型覆盖终端、云、Saas应用检测,以Cloudtrial为例支持内置规则90+覆盖vpc、rds、iam服务检测 | 类型覆盖终端、云、Saas应用检测,以Cloudtrail为例支持检测规则0仅支持日志接入 | |
| 支持规则管理、白名单、正则匹配、关联分析、机器学习算子丰富 | 支持规则管理、白名单、正则匹配、关联分析 | |
| 云安全支持CSPM、KSPM | 云安全支持CSPM | |
| 响应能力 | EDR、CWPP支持文件查杀、进程阻断、可后台拉文件执行简单命令 | Wazuh agent支持集成yara查杀文件、进程阻断依赖与服务端XDR联动 |
| 威胁情报 | 支持CS、Mandiant等商业情报库对接 | 不直接支持商业情报库对接 |
| 支持威胁情报碰撞 | 支持威胁情报碰撞,但集成misp碰撞情报对机器性能消耗极大,使用CDBlist碰撞官方未知名单数量配置上限 | |
| 检索与可视化 | 支持模糊匹配、EQL | 支持模糊匹配、EQL |
| 支持各类图标、大盘,内置安全类大盘多 | 支持各类图标、大盘,基于Opensearch大盘较少 | |
| 管理能力 | 支持CASE管理 | 无CASE管理但可与Thehive集成 |
| Fleet管理Agent策略更新 | Wazuh可集成其他Agent |
总的来说的Elastic在采集能力、跨平台能力、集成能力、检测能力、可视化能力、运营成本方面均强于Wazuh。
另外多说一句,看最新版的Elastic Security开箱即用的安全能力真是比很多安全厂商的SOC、SIEM要强,可以说很多安全厂商底层数仓用了ES,但是安全能力没抄明白。
转自:https://mp.weixin.qq.com/s/I-FcQlHCnj5LIYv0V5njJw
转载请注明:jinglingshu的博客 » Elastic与Wazuh的SIEM选型对比