Inventariando Contêineres com o Agente Wazuh: Um Guia Detalhado
Descubra como o módulo 'wodle command' do Wazuh pode ser utilizado para automatizar a inventariação de contêineres Docker, garantindo visibilidade sobre imagens, privilégios e configurações de segurança em ambientes dinâmicos.
MundiX News·27 de junho de 2026·9 min de leitura·👁 1 views
Ambientes de contêineres evoluem rapidamente, com novas imagens sendo implantadas automaticamente e configurações atualizadas em pipelines de CI/CD. Sem um processo contínuo de inventário, torna-se um desafio saber exatamente o que está em execução: qual imagem, com qual digest, de qual registry e com quais privilégios. Na prática, isso pode levar a configurações inseguras ou imagens não autorizadas operando despercebidas em sua infraestrutura por meses. Quando um incidente ou auditoria ocorre, a tarefa de identificar manualmente quais contêineres foram iniciados e se eles atendem aos requisitos de segurança se torna complexa e demorada. A inventariação automática transforma essa informação em eventos de monitoramento, permitindo notificações imediatas sobre a presença de configurações de risco.
Neste guia, exploraremos como utilizar o mecanismo 'wodle command' do Wazuh para realizar essa tarefa. O 'wodle' (Wazuh module) é um componente que expande as capacidades do agente, projetado para coletar dados de fontes externas, executar scanners de segurança ou rodar scripts customizados. Essencialmente, é um plugin leve para o agente Wazuh que opera em segundo plano, executa sua função e envia os resultados como logs para o manager para análise posterior. A arquitetura da solução envolve um script que é executado pelo agente Wazuh em um agendamento definido. Este script interage com o Docker CLI, gerando uma saída em formato JSON que é capturada pelo Wazuh e enviada ao manager como eventos individuais.
O processo de configuração envolve três etapas principais. Primeiro, a criação de um script de inventário compatível com ambientes Linux, que pode ser salvo em /var/ossec/custom-scripts/container_inventory.sh com as permissões de execução adequadas. Este script verifica a presença do Docker, coleta informações como nome do contêiner, ID, imagem, tag, registry, digest, privilégios, usuário e capabilities. Em seguida, é necessário configurar o agente Wazuh adicionando um bloco <wodle name="command"> ao arquivo /var/ossec/etc/ossec.conf. Este bloco define o comando a ser executado (/var/ossec/custom-scripts/container_inventory.sh), o intervalo de execução (por exemplo, a cada 6 horas), e outras configurações como ignore_output e timeout. Após a modificação da configuração, o agente Wazuh deve ser reiniciado. Finalmente, a configuração de regras de alerta no Wazuh Manager, especificamente no arquivo /var/ossec/etc/rules/local_rules.xml, permite a detecção de configurações de risco, como contêineres privilegiados, uso da tag 'latest', execução como root ou uso de imagens locais sem um registry confirmado. Essas regras, ao serem acionadas, geram alertas que podem ser visualizados no Wazuh Dashboards, facilitando a investigação e a remediação de potenciais vulnerabilidades.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Ambientes de contêineres evoluem rapidamente, com novas imagens sendo implantadas automaticamente e configurações atualizadas em pipelines de CI/CD. Sem um processo contínuo de inventário, torna-se um desafio saber exatamente o que está em execução: qual imagem, com qual digest, de qual registry e com quais privilégios. Na prática, isso pode levar a configurações inseguras ou imagens não autorizadas operando despercebidas em sua infraestrutura por meses. Quando um incidente ou auditoria ocorre, a tarefa de identificar manualmente quais contêineres foram iniciados e se eles atendem aos requisitos de segurança se torna complexa e demorada. A inventariação automática transforma essa informação em eventos de monitoramento, permitindo notificações imediatas sobre a presença de configurações de risco.
Neste guia, exploraremos como utilizar o mecanismo 'wodle command' do Wazuh para realizar essa tarefa. O 'wodle' (Wazuh module) é um componente que expande as capacidades do agente, projetado para coletar dados de fontes externas, executar scanners de segurança ou rodar scripts customizados. Essencialmente, é um plugin leve para o agente Wazuh que opera em segundo plano, executa sua função e envia os resultados como logs para o manager para análise posterior. A arquitetura da solução envolve um script que é executado pelo agente Wazuh em um agendamento definido. Este script interage com o Docker CLI, gerando uma saída em formato JSON que é capturada pelo Wazuh e enviada ao manager como eventos individuais.
O processo de configuração envolve três etapas principais. Primeiro, a criação de um script de inventário compatível com ambientes Linux, que pode ser salvo em /var/ossec/custom-scripts/container_inventory.sh com as permissões de execução adequadas. Este script verifica a presença do Docker, coleta informações como nome do contêiner, ID, imagem, tag, registry, digest, privilégios, usuário e capabilities. Em seguida, é necessário configurar o agente Wazuh adicionando um bloco <wodle name="command"> ao arquivo /var/ossec/etc/ossec.conf. Este bloco define o comando a ser executado (/var/ossec/custom-scripts/container_inventory.sh), o intervalo de execução (por exemplo, a cada 6 horas), e outras configurações como ignore_output e timeout. Após a modificação da configuração, o agente Wazuh deve ser reiniciado. Finalmente, a configuração de regras de alerta no Wazuh Manager, especificamente no arquivo /var/ossec/etc/rules/local_rules.xml, permite a detecção de configurações de risco, como contêineres privilegiados, uso da tag 'latest', execução como root ou uso de imagens locais sem um registry confirmado. Essas regras, ao serem acionadas, geram alertas que podem ser visualizados no Wazuh Dashboards, facilitando a investigação e a remediação de potenciais vulnerabilidades.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
