Scribd
Importer
57 vues3 pages

Guide Wazuh

wazuh

Transféré par

hamdi ayedi
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
57 vues3 pages

Guide Wazuh

wazuh

Transféré par

hamdi ayedi
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

GUIDE : Intégration Wazuh + YARA avec centralisation via un serveur Windows SMB

===============================================================================

OBJECTIF :

----------

Un poste Windows client installe l'agent Wazuh. Ensuite :

- Il récupère automatiquement : [Link], [Link], yara_rules.yar depuis un serveur Windows SMB

- Il détecte les malwares avec YARA

- Il supprime automatiquement les fichiers malveillants

ÉTAPE 1 - Préparer le serveur Windows SMB

-----------------------------------------

1. Créer le dossier : C:\YARA-SHARE

2. Y déposer les fichiers :

- [Link]

- [Link]

- yara_rules.yar

3. Partager le dossier :

- Clic droit > Propriétés > Partage > Ajouter "Tout le monde"

- Partager et noter le chemin réseau : \[Link]\YARA-SHARE

ÉTAPE 2 - Créer le script de récupération sur le client : fetch_yara.bat

------------------------------------------------------------------------

Chemin : C:\Program Files (x86)\ossec-agent\active-response\bin\fetch_yara.bat

Contenu :

---------

@echo off

set SHARE=\\[Link]\YARA-SHARE

set DEST="C:\Program Files (x86)\ossec-agent\active-response\bin"

set YARADIR=%DEST%\yara\rules

if not exist "%DEST%\yara" mkdir "%DEST%\yara"


if not exist "%YARADIR%" mkdir "%YARADIR%"

copy %SHARE%\[Link] "%DEST%\yara\" /Y

copy %SHARE%\[Link] "%DEST%\" /Y

copy %SHARE%\yara_rules.yar "%YARADIR%\" /Y

echo [%date% %time%] YARA files copied successfully from %SHARE% >> %DEST%\fetch_yara.log

ÉTAPE 3 - Exécuter le script

----------------------------

Option 1 : Lancer manuellement depuis PowerShell :

& "C:\Program Files (x86)\ossec-agent\active-response\bin\fetch_yara.bat"

Option 2 : Planificateur de tâches Windows > Au démarrage

ÉTAPE 4 - Configurer le fichier [Link] via /shared/default/ sur le serveur Wazuh

--------------------------------------------------------------------------------------

Contenu :

---------

<agent_config>

<syscheck>

<directories realtime="yes">C:\Users\*\Downloads</directories>

</syscheck>

<active-response>

<command>yara</command>

<location>local</location>

<rules_id>100024,100025</rules_id>

</active-response>

<commands>

<command>

<name>yara</name>
<executable>active-response/bin/[Link]</executable>

<timeout_allowed>no</timeout_allowed>

</command>

</commands>

</agent_config>

Redémarrer le manager :

-----------------------

sudo systemctl restart wazuh-manager

ÉTAPE 5 - Tester

----------------

1. Installer l'agent Wazuh sur le client

2. Lancer fetch_yara.bat

3. Placer un fichier suspect dans "Downloads"

4. Vérifier la suppression automatique

5. Consulter : [Link] pour les logs YARA

Vous aimerez peut-être aussi