Ichki Loyiha · Maxfiy · 2026

Warden

Ichki Xavfsizlik Monitoring Platformasi

Barcha serverlardagi paketlar, Docker image'lar va dasturiy bog'liqliklardagi zaifliklarni avtomatik aniqlab, har kuni xavfsizlik hisobotini yetkazib beruvchi markazlashgan tizim.

Muhit: RHEL / Rocky / AlmaLinux Yondashuv: 100% ochiq kodli Stek: Wazuh · Trivy · DefectDojo Sana: 2026-05-29

// 01 Muammo

Hozir biz ko'r ishlayapmiz

Infratuzilmamizda yuzlab paket, o'nlab konteyner va kod bog'liqliklari bor. Ularning qaysi birida ma'lum zaiflik (CVE) borligini bugun hech kim muntazam kuzatmaydi.

Ko'rinmaslik

Qo'lda nazorat yo'q

Qaysi serverda eskirgan, zaif paket borligini bilish uchun yagona manba mavjud emas. Tekshiruv tasodifiy va qo'lda.

Konteyner xavfi

Docker image'lar qora quti

Ishlab turgan image'lar ichidagi kutubxonalarda kritik CVE'lar bo'lishi mumkin — ulardan bexabarmiz.

Reaktivlik

Hodisadan keyin bilamiz

Zaiflikni buzg'unchi topib, foydalanganidan keyin xabar topish — eng qimmat va eng kech variant.

Biznes tavakkali

Nazoratsiz qolgan zaiflik — nafaqat texnik, balki reputatsion va moliyaviy xavf. Infratuzilma kengaygani sari qo'lda kuzatuv imkonsiz bo'lib boradi; avtomatlashtirilgan, uzluksiz monitoring zarurat.

// 02 Maqsad va Qamrov

To'rt o'lcham, bitta panel

Tizim har kuni avtomatik skanlab, quyidagi to'rt yo'nalishdagi zaifliklarni bir markaziy dashboardda jamlaydi va hisobot yuboradi.

inventory_2O'lcham 01

OS paketlar

Serverga o'rnatilgan har bir RPM paket versiyasidagi ma'lum CVE'lar.

deployed_codeO'lcham 02

Docker image'lar

Konteyner image'lari ichidagi OS va kutubxona zaifliklari.

account_treeO'lcham 03

Kod bog'liqliklari

Django (pip) va Next.js (npm), Go modullaridagi zaif kutubxonalar.

fact_checkO'lcham 04

Compliance

CIS Benchmark / SCAP bo'yicha noto'g'ri sozlamalar auditi.

24/7

Markaziy dashboard va uzluksiz kuzatuv

1×/kun

Avtomatik xavfsizlik hisoboti (Email / Telegram)

Agent

Har serverga yengil agent — markazga ma'lumot uzatadi

Trend

Tarixiy o'zgarish — zaifliklar kamayyaptimi yoki o'syaptimi

// 03 Yondashuv

Noldan yozmaymiz — tayyor standartni quramiz

Sinovdan o'tgan ochiq kodli stek. Wazuh, Trivy va DefectDojo — sanoatda yetuk, keng qo'llaniladigan, bepul yechimlar.
Litsenziya xarajati = 0. Hammasi o'z serverimizda (self-hosted), tashqi SaaS'ga bog'liqlik yo'q, ma'lumot tashqariga chiqmaydi.
Modulli. Avval minimal yadro, keyin bosqichma-bosqich kengaytirish. Har bosqich mustaqil qiymat beradi.
RHEL'ga moslangan. Tanlangan toollar Red Hat oilasining o'z xavfsizlik ma'lumotidan foydalanadi — yolg'on ogohlantirishlar kam.

Tanlangan tool'lar

Wazuh

Markaziy SIEM platforma · agent · dashboard · OS CVE · compliance · hisobot

Trivy

Docker image va kod bog'liqlik skaneri · Red Hat advisory bilan

DefectDojo

Barcha natijalarni jamlash · dedup · trend · rejalashtirilgan hisobot

// 04 Arxitektura

Ikki qatlamli markazlashgan tizim

Serverlardagi agentlar Wazuh markaziga ma'lumot uzatadi; Trivy/Grype konteyner va kodni skanlab DefectDojo'ga uzatadi. Ikkala oqim ham bitta kunlik hisobotga birlashadi.

flowchart LR
  subgraph SRV["RHEL / Rocky / Alma serverlar"]
    direction TB
    A1["wazuh-agent
Syscollector"]
    A2["wazuh-agent"]
    A3["wazuh-agent"]
  end
  subgraph CORE["Wazuh — markaziy platforma"]
    direction TB
    M["Wazuh Manager
Vulnerability Detection + SCA/CIS"]
    IDX[("Wazuh Indexer")]
    DSH["Wazuh Dashboard"]
  end
  CTI{{"Wazuh CTI feed
RHEL · Rocky · Alma · NVD · OSV"}}
  subgraph SCAN["Konteyner & kod skaneri"]
    direction TB
    T["Trivy
image + deps"]
    G["Grype + Syft
cross-check"]
  end
  DD[("DefectDojo
jamlash + trend")]
  RPT["Kunlik hisobot
Email / Telegram"]

  A1 --> M
  A2 --> M
  A3 --> M
  CTI --> M
  M <--> IDX
  IDX --> DSH
  T --> DD
  G --> DD
  M --> RPT
  DD --> RPT

  classDef core fill:#0f2b27,stroke:#2ee6c4,color:#e8eef7;
  classDef scan fill:#1a1530,stroke:#5ab2ff,color:#e8eef7;
  classDef rep fill:#2a1620,stroke:#ff8a4c,color:#e8eef7;
  class M,IDX,DSH core;
  class T,G scan;
  class RPT,DD rep;

// 05 Komponentlar Matritsasi

Qaysi tool nimani qoplaydi

Tool	OS paket CVE	Docker image	Kod bog'liqlik	CIS / SCAP	Rol
Wazuh SIEM	check native	—	—	check SCA+CIS	MARKAZ
Trivy	check	check asosiy	check	—	skaner
Grype + Syft	check	check	check	—	cross-check
OpenSCAP + SSG	~ OVAL	—	—	check kanonik	compliance
DefectDojo	—	—	—	—	JAMLASH

check to'liq qo'llab-quvvatlaydi ~ qisman / eskirayotgan feed — qoplamaydi

Nega bitta skaner yetarli emas

Mustaqil tadqiqot (KTH, 2025): Trivy ↔ Grype natijalari o'rtasida moslik atigi ~69%. Sabab — har biri turli CVE bazasidan foydalanadi. Shu sababli muhim image'lar uchun ikki skaner natijasini DefectDojo'da jamlash maqsadga muvofiq.

// 06 Ma'lumot Oqimi

Bir kunlik skan sikli

Har kechasi avtomatik ishga tushadi: inventar yig'iladi, CVE'lar moslashtiriladi, konteynerlar skanlanadi va natijalar bitta hisobotga aylanadi.

sequenceDiagram
  autonumber
  participant CRON as Cron · har kuni 02:00
  participant AG as wazuh-agent
  participant WZ as Wazuh Manager
  participant TR as Trivy
  participant DD as DefectDojo
  participant TG as Telegram / Email
  AG->>WZ: Paket inventari (Syscollector)
  WZ->>WZ: CVE moslashtirish (CTI feed)
  CRON->>TR: Image + kod bog'liqlik skani
  TR->>DD: Natijalar (JSON import)
  CRON->>WZ: API so'rov — zaifliklar ro'yxati
  WZ-->>CRON: Aniqlangan CVE'lar
  CRON->>TG: Kunlik xulosa hisobot
  DD->>TG: Rejalashtirilgan batafsil hisobot

// 07 RHEL Ma'lumot Manbai

Nega Red Hat ma'lumoti muhim

RHEL paketlar "backport" tufayli versiya raqamiga qarab xato zaif deb belgilanishi mumkin. Yechim — NVD'ga emas, Red Hat'ning o'z xavfsizlik ma'lumotiga tayanish.

flowchart LR
  CVE["Yangi CVE e'lon qilindi"] --> NVD["NVD severity
yolg'iz"]
  CVE --> RH["Red Hat advisory
OVAL / CSAF-VEX + Impact"]
  NVD --> BAD["Ko'p yolg'on
ogohlantirish"]
  RH --> GOOD["Aniq, ishonchli natija
backport hisobga olinadi"]

  classDef bad fill:#2a1620,stroke:#ff3b5c,color:#ffd9e0;
  classDef good fill:#0f2b27,stroke:#2ee6c4,color:#d6fff5;
  class BAD bad; class GOOD good;

Wazuh

Markazlashgan CTI feed orqali RHEL, Rocky, Alma, Oracle ma'lumotini oladi.

Trivy

Red Hat'ning o'z advisory va "Impact" severity'sidan foydalanadi → false-positive kam.

Tendensiya

Red Hat eski OVAL v2 formatdan CSAF/VEX'ga o'tmoqda — toollarni shunga moslab tanladik.

// 08 Joriy Etish Bosqichlari

Bosqichma-bosqich, har qadam qiymat beradi

flowchart TB
  P1["FAZA 1 — Minimal
Wazuh single-node + agentlar + Trivy cron
→ birinchi kunlik hisobot"]
  P2["FAZA 2 — Jamlash
+ DefectDojo + Grype cross-check
→ dedup va trend"]
  P3["FAZA 3 — Compliance
+ OpenSCAP / SSG CIS audit
→ standartlarga muvofiqlik"]
  P4["FAZA 4 — To'liq avtomatika
+ Telegram alert + rejalashtirilgan hisobot
→ proaktiv ogohlantirish"]
  P1 --> P2 --> P3 --> P4

  classDef ph fill:#10151f,stroke:#2ee6c4,color:#e8eef7;
  class P1,P2,P3,P4 ph;

Single-node

~4 vCPU · 8–16 GB RAM

Kichik park (<100 agent) uchun Wazuh manager + indexer + dashboard bitta serverda.

Agent

~35 MB RAM / server

Yengil agent, RHEL repo orqali yoki Ansible bilan ommaviy o'rnatish.

DefectDojo

~2 vCPU · 4 GB RAM

Django + Postgres + Redis. Faza 2'da qo'shiladi.

Eslatma

Resurs raqamlari boshlang'ich baho — rasmiy Wazuh deployment hujjatiga ko'ra yakuniy o'lchamlanadi.

// 09 Kunlik Hisobot

Har ertalab pochtangizda

Wazuh native hisobot — alert xulosalarini email orqali yuboradi.
DefectDojo rejalashtirilgan hisobot — trend va dedup bilan batafsil.
Telegram integratsiyasi — mavjud bot infratuzilmasi orqali tezkor yetkazish.
Severity bo'yicha — Critical → High → Medium ranglar bilan ajratilgan.

lock Warden · kunlik hisobot · 2026-05-29

════════════════════════════ Jami zaiflik: 147 (kecha 152 ↓5) ──────────────────────────── ● CRITICAL ......... 3 ● HIGH ............. 21 ● MEDIUM ........... 58 ──────────────────────────── CVE-2025-XXXXX openssl → web-01 · backend-img CVE-2025-YYYYY nginx → lab-runner · 2 image ════════════════════════════ ↗ to'liq panel: wazuh.internal

// 10 Diqqat Nuqtalari

Oldindan bilingan tuzoqlar

Versiya

Wazuh 4.8 (2024-06) qayta yozildi

Zaiflik aniqlash dvigateli tubdan o'zgardi — eski qo'llanmalar ishlamaydi. Biz yangi CTI-asoslangan arxitekturani quramiz.

Feed migratsiyasi

OVAL v2 → CSAF / VEX

Red Hat eski formatdan voz kechmoqda (RHEL 10+ uchun chiqarilmaydi). OVAL'ga qattiq bog'liq toollardan qochamiz.

Trivy

Layer flatten = false-positive

Birlashtirilgan image fayl tizimini emas, asl image tag'larini skanlash kerak — aks holda noto'g'ri aniqlash.

Dedup

Skaner kelishmovchiligi

Wazuh va Trivy bir CVE'ni turlicha ko'rsatishi mumkin (backport). DefectDojo'da dedup strategiyasi shart — alert charchog'ining oldini olamiz.

// 11 Yo'l Xaritasi

Taxminiy reja — ~3 hafta

gantt
  dateFormat YYYY-MM-DD
  axisFormat %d-%b
  todayMarker off
  section Faza 1 · Minimal
  Wazuh single-node setup       :a1, 2026-06-02, 4d
  Agent rollout (serverlar)     :a2, after a1, 3d
  Trivy cron + birinchi hisobot :a3, after a2, 2d
  section Faza 2 · Jamlash
  DefectDojo o'rnatish          :b1, after a3, 3d
  Trivy/Grype -> DefectDojo     :b2, after b1, 3d
  section Faza 3 · Compliance
  OpenSCAP CIS audit            :c1, after b2, 4d
  section Faza 4 · Avtomatika
  Telegram alert + hisobot      :d1, after c1, 3d

Faza 1 yakunida tizim allaqachon ishlaydi va birinchi kunlik hisobotni yuboradi. Keyingi fazalar uni boyitadi.

// 12 Xulosa

Tavsiya va keyingi qadam

Stek: Wazuh (markaz) + Trivy (konteyner/kod) + DefectDojo (jamlash).
Xarajat: litsenziya 0 — faqat bitta server resursi va ishlab chiqish vaqti.
Natija: har kuni avtomatik xavfsizlik hisoboti + markaziy dashboard + trend.
Vaqt: Faza 1 ishlaydigan tizim — taxminan 1 hafta.

Ochiq kodli Self-hosted RHEL-moslangan Rahbariyat tasdig'i kerak

So'rov

Warden Faza 1'ni
boshlashga ruxsat

Bitta server ajratilsa, bir hafta ichida ishlaydigan demo va birinchi kunlik hisobot tayyor bo'ladi.

Warden · Ichki Xavfsizlik Monitoring Platformasi · 2026-05-29 — rahmat