Search Write Sign up Sign in

Wazuh-Partie1 : Présentation & Mise

en place
CyberdefendeR · Follow
8 min read · Mar 2, 2024

--

Wazuh est une plateforme de sécurité SI tout-en-un, open source et

puissante, conçue pour protéger les organisations contre les menaces
cybernétiques. Elle se distingue par plusieurs fonctionnalités essentielles :

1. Détection d’Intrusions (IDS/IPS) :Wazuh surveille en temps réel les

activités du système et les journaux de sécurité, repérant les
comportements suspects qui pourraient indiquer une intrusion.

2. Corrélation des Événements : La plateforme analyse et connecte les

informations provenant de diverses sources pour identifier les attaques
complexes, permettant une réponse plus efficace.

3. Analyse des Logs : Wazuh excelle dans l’analyse approfondie des

journaux, aidant les utilisateurs à comprendre les activités du système et à
réagir rapidement en cas d’incident.

4. Gestion de Vulnérabilités : En identifiant et évaluant les faiblesses

potentielles du système, Wazuh aide à renforcer la sécurité en anticipant
les vulnérabilités.

5. Conformité et Rapports : La plateforme génère des rapports détaillés

pour aider les organisations à respecter les normes de sécurité, facilitant
ainsi la démonstration de la conformité.

6. Extensibilité et Intégrations : Wazuh peut être facilement étendu grâce

à des modules complémentaires et s’intègre avec d’autres outils de
sécurité, offrant une flexibilité d’utilisation.

7. Architecture Évolutive : Que ce soit dans des environnements de petite

ou grande envergure, sur site ou dans le cloud, Wazuh propose une
architecture évolutive pour répondre aux besoins variés.

8. Corrélation et Threat Intelligence : La plateforme utilise des

mécanismes avancés de corrélation et s’appuie sur des informations sur
les menaces pour améliorer la précision de la détection.

En bref, Wazuh va permettre non seulement de s’assurer de la sécurité des

points terminaux , mais fournit une solution assez complète, proactive et
adaptable pour le renforcement de la sécurité des organisations, en
offrant des outils essentiels pour détecter, prévenir et répondre aux
menaces informatiques.

La plateforme vise non seulement à faciliter la mise en œuvre d’une

“threat intelligence” automatisée en analysant et corrélant diverses
données disponibles, mais elle permet également d’effectuer du “threat
hunting”.
Ainsi, elle contribue à la détection proactive de vulnérabilités et offre
également aux analystes SOC la possibilité de répondre aux incidents
cybernétiques tout en assurant le suivi et la vérification de la conformité
aux différentes réglementations en matière de sécurité des données, telles
que la HIPAA, la PCI DSS ou la RGPD.

De plus, Wazuh intègre des fonctionnalités avancées liées à la sécurité du

cloud, notamment la sécurité des conteneurs et la protection des
“workloads”.

Implémentation de Wazuh
Avant de procéder à la mise en place de la plateforme, il est il essentiel de
connaitre son modèle de fonctionnement.

Wazuh adopte le modèle de fonctionnement caractéristique des SIEMs

(Systèmes de Gestion des Informations et des Événements de Sécurité). Ce
système repose sur une architecture agent/manager, où les agents sont
responsables de la collecte de divers journaux depuis les points
d’extrémité, notamment nos machines clientes.
En parallèle, le manager récupère les événements générés par ces agents,
les traitant et les corrélant pour présenter une vue plus claire et
compréhensible.

Les composants de Wazuh

La plateforme dispose de trois composants principaux :

— L’indexeur de Wazuh : L’indexeur de Wazuh est un composant central

de Wazuh, il indexe et stocke les alertes générées par le serveur Wazuh,
offrant des capacités de recherche et d’analyse de données quasi temps
réel, permettant une recherche rapide et efficace des données tout en
facilitant l’analyse des alertes générées par le serveur Wazuh.

- Le serveur Wazuh : Le serveur Wazuh exerce une analyse approfondie

des données émanant des agents (composants qui récoltent les logs depuis
les endpoints), traitant ces informations à l’aide de renseignements sur les
menaces.
Il se distingue par sa capacité à gérer des volumes considérables de
données provenant de milliers d’agents, et peut être étendu en tant que
cluster pour répondre aux besoins croissants.
De plus, il joue un rôle crucial dans la gestion des agents, en permettant
des configurations à distance, une fonctionnalité essentielle pour garantir
une sécurité proactive et optimale.

- Le tableau de bord (Wazuh Dashboard) : Le tableau de bord Wazuh

constitue l’interface utilisateur web dédiée à la visualisation, à l’analyse et
à la gestion des données.
Il offre des tableaux de bord spécifiques pour la conformité
réglementaire, les vulnérabilités, l’intégrité des fichiers, l’évaluation de la
configuration, ainsi que pour les événements de l’infrastructure cloud,
entre autres fonctionnalités.

- Les agents Wazuh (Wazuh agents) :

Les agents Wazuh sont des composants stratégiques déployés sur les
endpoints d’un réseau informatique.
Leur rôle central consiste à collecter et à surveiller de manière proactive
les données, notamment les journaux, sur les systèmes où ils sont
installés.
En analysant ces données au niveau central via le serveur Wazuh, les
agents assurent une corrélation avancée, une détection d’anomalies et la
génération d’alertes en cas d’activités suspectes.

Etapes de mise en place de la plateforme :

Le processus d’installationde Wazuh est assez simple.
Pour atteindre cet objectif, rien n’est plus efficace que de se référer à la
documentation officielle, accessible ici.

En ce qui concerne les prérequis, penser au minimum à un cpu de 8 cœurs

et 8 gb de Ram, avant de procéder à la mise en place.

1. Installation du manager Wazuh

Pour ce faire ,j’ai préparé pour mon cas une machine virtuel (VM) basé sur
Linux-Debian, qui servira a contenir notre plateforme.

Je vous conseilles, avant de procéder, à mettre à jour l’ensemble des

dépendances du systèmes, histoire d’éviter une mauvaise surprise par la
suite, en utilisant la commande ci-dessous :

sudo apt-get update & sudo apt-get upgrade -y

Procédons maintenant à l’installation de Wazuh avec la commande ci-

après :
curl -sO [Link] && sudo bash
./[Link] -a

Identifiants Wazuh

Une fois cette étape accomplie, nous recevons des identifiants nous
permettant d’accéder à la plateforme (à modifier ultérieurement).
À présent, accédons au tableau de bord Wazuh en utilisant les identifiants
qui nous ont été fournis.

Wazuh est normalement accessible via notre adresse locale (localhost) à

travers le port 443 (du https effectivement).

Sachant qu’il est possible dans certains cas de faire face à l’erreur ci-
dessous lors de l’accés au dashboard Wazuh :

Si jamais c’est le cas, essayer de redémarrer les composantes de Wazuh

avec les commandes

ci-après en ligne de commande :

“ systemctl restart wazuh-dashboard “

“ systemctl restart wazuh-indexer “

“ systemctl restart wazuh-manager “

Vous pourrez également être amené a redémarrer le module filebeat :

“ systemctl restart filebeat “

Et au cas ou comme moi, vous auriez oublié de noter vos identifiants

d’accés, il est possible de retrouver ces derniers au niveau des fichiers
configs, je vous laisse ci-dessous les instructions en ligne de commande :

Tout d’abord, décompressons le fichier “ [Link] “ :

Puis ouvrons le fichier “ wazuh-install-files/[Link] “ via

notre terminal, ce dernier liste les différents identifiants relatifs à la
plateforme :

L’interface d’accueil de Wazuh se présente comme suit :

Interface principale de Wazuh

Alors notre manager est prêt, mais nous n’avons pas encore d’agents à
superviser, étape suivante.

2. Intégration des agents à superviser

Pour initier la surveillance et la supervision de nos machines, il suffit

d’ajouter la machine cliente en tant qu’agent.

Comme montré sur la capture ci-dessus, la plateforme permet

l’intégration de divers types de systémes, tels que Windows, Linux ,
MacOS, ainsi que des systémes additionnels dont nous pourrons consulter
les guides dans la documentation officielle en cas de nécessité.

- Ci-après, les étapes de déploiement de deux agents basés sur Windows et

Linux, respectivement.

Tout d’abord, avant de procéder, il nous faut déterminer l’adresse IP du

manager Wazuh (l’adresse IP de la machine sur laquelle nous avons installé
Wazuh), car nous en aurons besoin pour le déploiement de nos différents
agents, car c’est cette derniére qui les permettra d’envoyer les logs à
Wazuh.

Utilisation de la commande " ifconfig " pour déterminer l'IO du serveur

L’IP de notre machine serveur est “ [Link] “ .

NB : Si l’IP en question est associé à un nom de domaine, nous pouvons

directement associer ce dernier comme adresse serveur.

Déploiement de l’agent basé sur windows :

Maintenant, nous avons notre script personnalisé que l’on pourra éxécuter
sur le client windows afin de le joindre à notre plateforme wazuh.

Complétons les étapes, en éxecutant notre script sur notre client windows
:

NB : J’utilise dans cet exemple une machine basé sur Windows10 , en guise
de test.

Ouvrons un terminal powershell en tant qu’admin et éxecuter notre script,

comme montré ci-dessous :

Il ne reste qu’a lancer le service avec la commande “ NET START WazuhSvc

“:

Avant de continuer, vérifions que le service Wazuh (WazuSvc) est bien

fonctionnel, en éxecutant sur le terminal powershell
la commande “ Get-Service -Name WazuhSvc | Select-Object Status “ .

Service WazuhSvc

Déploiement de l’agent basé sur Linux, Debian :

Le principe reste le même.

Saisir le script personnalisé sur le terminal de la machine Linux :

Il ne reste plus qu’a démarrer les services nécessaires :

Explorons à présent les fonctionnalités essentielles de la plateforme.

Accédons à la deuxième partie à partir d’ici (bientôt disponible).

Wazuh Cybersécurité Siem Edr Xdr

--

Written by CyberdefendeR Follow

128 Followers · 43 Following

SOC Analyst📌 | Cybersécurity 🛡 | BlueTeam⚔️| To sopprt this blog :

[Link]

No responses yet

Help Status About Careers Press Blog Privacy Terms Text to speech Teams