边缘安全与网络
Wazuh Agent
厂商/来源:
Wazuh Inc. (开源 GPLv2)
核心功能:
工控机的“黑匣子”。开源界的 EDR (端点检测与响应) 霸主,满足等保 2.0 合规要求的利器。
| 适用场景 | 关键基础设施 (电力/水务) 的安全审计、文件完整性监控 (FIM)、入侵检测 |
| 架构支持 | 轻量级 Agent (C 语言编写)。服务端 (Server) 很重,但边缘端 (Agent) 很轻,几十 MB 内存即可。 |
| 核心价值 | FIM (文件完整性监控):这是工业安全的核心。如果有人偷偷修改了 /etc/hosts 或者 PLC 的配置文件,Wazuh 会立刻报警。这是防范“内鬼”的终极手段。 |
| 对接情报 | SCA (安全配置评估):Agent 会自动扫描系统漏洞:“你的 OpenSSH 版本过低”、“Root 允许远程登录”。它会生成一份评分报告,告诉你哪里不合规。 |
| 避坑指南 | [服务端压力] 1. 架构分离:千万别把 Wazuh Server (后端) 装在边缘网关上!它依赖 Elasticsearch/OpenSearch,极其吃资源。对策:Server 部署在云端/中心机房,边缘只装 Agent。 2. 误报风暴:默认规则很敏感。正常的系统更新可能会触发几百条“文件变更”报警。对策:上线初期需进行为期一周的“白名单调优”,否则运维人员会被报警邮件淹没。 |
| 推荐搭配 | [云端服务器(部署Manager)] [所有边缘节点] |
