การขยายระบบ Wazuh สำหรับการมอนิเตอร์ความปลอดภัยเครือข่ายหลายสาขา

🚀 บทนำ: ทำไมองค์กรยุคใหม่ต้องมอนิเตอร์หลายสาขา

หลายองค์กรมีสำนักงานและศูนย์ข้อมูลอยู่ในหลายพื้นที่ การมีระบบที่สามารถมอนิเตอร์ข้อมูลความปลอดภัยจากทุกสาขาได้แบบรวมศูนย์ จะช่วยให้คุณเห็นภาพรวมของภัยคุกคามได้เร็วขึ้นและตอบสนองได้ทันเวลา

Wazuh Multi-Site Architecture คือโซลูชันแบบกระจายศูนย์ (Distributed) ที่สามารถประมวลผลและเก็บ Log ที่แต่ละสาขาได้โดยไม่ต้องส่งข้อมูลทั้งหมดผ่าน WAN ช่วยให้ระบบรวดเร็วและปลอดภัยขึ้น พร้อมมี Dashboard กลางสำหรับดูข้อมูลจากทุกสาขาแบบ Real-Time

🧩 1. แผนผังระบบ Wazuh แบบหลายสาขา

graph TD
subgraph SiteA["🏢 สาขา A (กรุงเทพฯ)"]
A1["อุปกรณ์ Cisco / Agent"] --> M1["Wazuh Manager (Master)"]
M1 --> I1["Indexer Node 1"]
M1 --> I2["Indexer Node 2"]
end

subgraph SiteB["🏭 สาขา B (โตเกียว)"]
B1["อุปกรณ์ Cisco / Agent"] --> M2["Wazuh Manager (Worker)"]
M2 --> I3["Indexer Node 3"]
end

subgraph SiteC["☁️ สาขา C (คลาวด์ – สิงคโปร์)"]
C1["Agent / Cloud Logs"] --> M3["Wazuh Manager (Worker)"]
M3 --> I4["Indexer Node 4"]
end

I1 <--> I2
I2 <--> I3
I3 <--> I4
I4 <--> I1

subgraph HQ["🌐 ศูนย์กลาง (Central Dashboard)"]
D1["Wazuh Dashboard"] --> D2["Unified View of All Sites"]
end

I1 & I2 & I3 & I4 --> D1

คำอธิบาย:

แต่ละสาขามี Wazuh Manager และ Indexer ของตัวเอง
Indexer ทุก Node เชื่อมต่อกันเป็น Cluster เดียว เพื่อให้ระบบทำงานต่อได้แม้บางไซต์ล่ม
Dashboard กลางสามารถดึงข้อมูลจากทุกไซต์แบบเรียลไทม์
หากการเชื่อมต่อข้ามสาขาขัดข้อง แต่ละไซต์ยังสามารถทำงานแยกกันได้ตามปกติ

⚙️ 2. ขั้นตอนการติดตั้งตามแนวทางจาก Wazuh

ใช้คำสั่ง wazuh-certs-tool.sh -A เพื่อสร้าง Root CA และใบรับรอง (Certificates) สำหรับแต่ละ Node
ตั้งค่าใน opensearch.yml และ ossec.conf
- <node_type>master</node_type> สำหรับไซต์หลัก
- <node_type>worker</node_type> สำหรับไซต์อื่น ๆ
ใน wazuh.yml ให้เปิดใช้งาน ip.selector: true เพื่อให้ผู้ใช้เลือกไซต์ที่ต้องการดูได้
เพิ่ม IP ของ Indexer ทุก Node ลงใน opensearch_dashboards.yml
ตั้งค่า Role-Based Access (RBAC) ให้เหมาะสม เช่น custom_read_site_a สำหรับดูข้อมูลเฉพาะไซต์ A

🛰️ 3. การมอนิเตอร์อุปกรณ์ Cisco ในแต่ละสาขา

แหล่งข้อมูล	วิธีเก็บข้อมูล	ส่งต่อไปที่	หมายเหตุ
Router / Switch	Syslog	Wazuh Manager ของไซต์นั้น	ลดการใช้ Bandwidth WAN
Firewall	SNMP	Local Indexer	ใช้ Custom Decoder สำหรับ Cisco MIB
Endpoint	Wazuh Agent	Manager ที่ใกล้ที่สุด	ติดตั้งง่ายและมีการเข้ารหัสข้อมูล
Cloud VM	Agentless	Cloud Indexer	เหมาะกับระบบ Hybrid Cloud

🔄 4. การซิงค์ข้อมูลและระบบสำรองข้ามสาขา

Indexer ทุก Node ทำงานร่วมกันแบบ Cluster Replication
หาก Site A หรือ B ขัดข้อง ข้อมูลล่าสุดยังคงอยู่ใน Site C (คลาวด์)
เมื่อเชื่อมต่อกลับมา ระบบจะซิงค์ข้อมูลอัตโนมัติ
สามารถเก็บ Log แยกตามไซต์เพื่อลดภาระของ Dashboard กลาง

📊 5. การแสดงผลบน Dashboard

sequenceDiagram
participant User as ผู้ดูแลระบบ
participant Dashboard as Wazuh Dashboard
participant Indexers as Cluster
participant Sites as Local Managers

User->>Dashboard: เลือกไซต์ (กรุงเทพฯ / โตเกียว / คลาวด์)
Dashboard->>Indexers: ดึงข้อมูล Log ของไซต์ที่เลือก
Indexers->>Sites: ขอข้อมูลเหตุการณ์ล่าสุด
Sites-->>Indexers: ส่งข้อมูลวิเคราะห์แล้วกลับ
Indexers-->>Dashboard: รวมและส่งผลลัพธ์
Dashboard-->>User: แสดงข้อมูลรวมแบบ Real-Time

🧠 6. แนวทางปฏิบัติที่แนะนำ

✅ ใช้ชื่อ Index แยกตามไซต์ เช่น alerts-bkk-*, alerts-tokyo-*
✅ เข้ารหัสการเชื่อมต่อระหว่าง Site ด้วย TLS
✅ ตั้งค่า ILM Policy เพื่อลบหรือเก็บ Log เก่าอัตโนมัติ
✅ ใช้ RBAC จำกัดสิทธิ์การเข้าถึงของแต่ละทีม
✅ ตรวจสอบสถานะ Cluster ผ่าน /api/status
✅ สำรองฐานข้อมูล Indexer ทุกวัน