Thierno Cherif HANE
Mise en place d’une solution de sécurité avec
Wazuh sur Debian
Réalisé par : Encadré par :
Thierno Cherif HANE Mr Massamba LO
[email protected]
�Thierno Cherif HANE
PLAN DU PROJET : Mise en place d’une solution de sécurité avec Wazuh
I. Introduction
• Présentation du projet
• Objectifs du projet
• Technologies utilisées
II. Présentation des outils
• Wazuh : Manager, Agents, Dashboard
• Debian : système pour le serveur
• Windows et Linux : clients pour les tests de surveillance
III. Configuration du serveur Wazuh sur Debian
• Étape 1 : Mise à jour du système
• Étape 2 : Génération des certificats
• Étape 3 : Ajout de la clé GPG
• Étape 4 : Installation des composants Wazuh
• Étape 5 : Vérification de l’indexeur
• Étape 6 : Configuration de Filebeat
• Étape 7 : Ajout du template et du module Wazuh
• Étape 8 : Sécurisation des identifiants Filebeat
• Étape 9 : Démarrage et test de Filebeat
• Accès au Dashboard
IV. Ajout et configuration des agents
A. Agent Linux
• Ajout de la clé GPG
• Ajout du dépôt
• Mise à jour et installation
• Activation et démarrage du service
B. Agent Windows
• Téléchargement et installation de l’agent
[email protected]
�Thierno Cherif HANE
• Ajout de l’agent via le manager (manage_agents)
• Configuration du client avec l’IP du manager et la clé
• Démarrage du service
V. Conclusion
[email protected]
�Thierno Cherif HANE
I. Introduction
❖ Présentation du projet
Ce projet consiste à mettre en place une solution de sécurité avec la plateforme Wazuh,
installée sur un serveur Debian. Deux ordinateurs (un sous Linux et un autre sous Windows)
sont connectés au serveur grâce à l’installation d’agents Wazuh pour permettre leur
surveillance.
❖ Objectifs du projet
• Surveiller en temps réel les activités des deux machines clientes.
• Centraliser la collecte des journaux système (logs), des fichiers et des processus.
• Détecter les tentatives d’intrusion grâce aux alertes générées automatiquement par
Wazuh.
❖ Technologies utilisées
• Wazuh : outil de surveillance, d’analyse de journaux et de détection d’intrusions.
• Debian : système d’exploitation utilisé pour installer le serveur principal (Wazuh
Manager).
• Windows et Linux : systèmes d’exploitation utilisés sur les deux machines clientes
pour tester les agents Wazuh.
II. Présentation des outils
➢ Wazuh
Wazuh est une plateforme de sécurité libre (open source) qui permet de surveiller des
systèmes informatiques en temps réel. Elle est composée de trois éléments principaux :
• Wazuh Manager : il s’agit du cœur du système qui reçoit, analyse et stocke les
données envoyées par les machines clientes.
• Agents Wazuh : installés sur les ordinateurs à surveiller, ils envoient les journaux
d’activité au manager.
• Dashboard : une interface web qui permet de visualiser les alertes, les statistiques et
les événements de manière claire.
➢ Debian (serveur)
Debian est un système d’exploitation Linux utilisé ici pour faire tourner le serveur Wazuh. Il
est réputé pour sa stabilité, sa sécurité, et son efficacité dans les environnements
professionnels. Toutes les étapes de configuration ont été réalisées sous Debian.
[email protected]
�Thierno Cherif HANE
➢ Windows et Linux (clients)
Ces deux systèmes ont été choisis pour représenter différents environnements de travail :
• Client Linux : pour tester la surveillance des systèmes basés sur Unix.
• Client Windows : pour voir comment Wazuh gère les événements propres à
l’environnement Windows (comme les journaux système et le registre).
III. Configuration du serveur Wazuh sur Debian
ÉTAPE 1 : Préparation du système
apt update -y
Met à jour la liste des paquets pour s’assurer que le système est prêt.
ÉTAPE 2 : Préparation des certificats de sécurité
curl -sO https://packages.wazuh.com/4.12/wazuh-certs-tool.sh
curl -sO https://packages.wazuh.com/4.12/config.yml
vim config.yml
bash ./wazuh-certs-tool.sh -A
tar -cvf ./wazuh-certificates.tar -C ./wazuh-certificates/ .
rm -rf ./wazuh-certificates
Ces commandes font :
• Le téléchargement du script et du fichier de configuration.
• L’édition de config.yml pour renseigner les IP/noms.
• La génération des certificats pour tous les composants.
[email protected]
�Thierno Cherif HANE
• L’archivage et nettoyage des fichiers générés.
[email protected]
�Thierno Cherif HANE
ÉTAPE 3 : Ajout de la clé GPG Wazuh
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --
keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644
/usr/share/keyrings/wazuh.gpg
Permet de vérifier l’authenticité des paquets téléchargés via APT.
ÉTAPE 4 : Installation de Wazuh
Ajoute les lignes suivantes :
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/
stable main" | tee /etc/apt/sources.list.d/wazuh.list
apt update
apt install wazuh-manager wazuh-dashboard wazuh-indexer -y
Installe les 3 composants Wazuh :
• wazuh-manager (le moteur)
• wazuh-dashboard (interface web)
• wazuh-indexer (moteur OpenSearch)
ÉTAPE 5 : Vérification de l’indexer
curl -k -u admin:admin https://10.5.20.12:9200
Vérifie que l’indexeur OpenSearch est bien accessible.
[email protected]
�Thierno Cherif HANE
ÉTAPE 6 : Configuration de Filebeat
curl -so /etc/filebeat/filebeat.yml
https://packages.wazuh.com/4.12/tpl/wazuh/filebeat/filebeat.yml
vim /etc/filebeat/filebeat.yml
Télécharge un fichier de configuration prêt à l’emploi et le modifie si besoin.
ÉTAPE 7 : Template et module Wazuh pour Filebeat
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-template.json -o /etc/filebeat/wazuh-
template.json
chmod go+r /etc/filebeat/wazuh-template.json
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.4.tar.gz | tar -xvz -C
/usr/share/filebeat/module
Configure Filebeat pour qu’il comprenne les logs Wazuh correctement.
[email protected]
�Thierno Cherif HANE
ÉTAPE 8 : Sécurisation des identifiants Filebeat
filebeat keystore create
echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force
Crée un keystore sécurisé pour stocker les identifiants d’accès à l’indexeur.
ÉTAPE 9 : Démarrage et test de Filebeat
systemctl start filebeat
filebeat test output
Démarre Filebeat et teste s’il parvient à se connecter à l’indexeur.
RÉSULTAT FINAL
[email protected]
�Thierno Cherif HANE
Accès au tableau de bord via :
https://10.5.20.12/app/login
Identifiants par défaut : admin / admin
IV. Ajout et configuration des agents
A. Agent Linux
Pour permettre la supervision d’une machine Linux depuis le serveur Wazuh, on installe
l’agent Wazuh sur le poste client. Cet agent collecte les journaux système et les envoie au
manager
1. Installer la clé GPG du dépôt Wazuh
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --
keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644
/usr/share/keyrings/wazuh.gpg
Explication :
• curl -s https://... : télécharge silencieusement la clé GPG.
• gpg --no-default-keyring ... --import : importe cette clé dans un fichier spécifique.
• chmod 644 : donne les bonnes permissions pour que le système puisse l’utiliser.
Cette clé permet de vérifier que les paquets Wazuh sont authentiques et sûrs.
2. Ajouter le dépôt APT de Wazuh
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg]
https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
[email protected]
�Thierno Cherif HANE
Explication :
• Cette commande ajoute le dépôt officiel de Wazuh à la liste des sources APT.
• signed-by=... : indique à APT d’utiliser la clé GPG précédemment installée.
• Le fichier wazuh.list est utilisé pour séparer les sources de manière propre.
3. Mettre à jour la base de données des paquets
apt-get update
Explication :
• Met à jour la liste des paquets disponibles en tenant compte du nouveau dépôt.
4. Installer l’agent Wazuh en spécifiant l’adresse IP du serveur
WAZUH_MANAGER="192.168.1.1" apt-get install wazuh-agent
Explication :
• L’agent est installé via APT.
• La variable WAZUH_MANAGER définit l’adresse du serveur à contacter une fois
l’agent lancé.
5. Activer et démarrer le service
• systemctl daemon-reload
• systemctl enable wazuh-agent
• systemctl start wazuh-agent
Explication de chaque ligne :
• systemctl daemon-reload : recharge les services après l’installation.
• systemctl enable wazuh-agent : active l’agent au démarrage du système.
• systemctl start wazuh-agent : démarre immédiatement le service.
B. Ajout et configuration d’un agent Wazuh sur Windows
Pour permettre la supervision d’un poste Windows (dans mon cas, avec l’IP 10.5.20.12),
j’ai installé et configuré l’agent Wazuh pour Windows.
1. Téléchargement et installation de l’agent
J’ai téléchargé le fichier wazuh-agent-4.12.0.msi depuis le site officiel https://wazuh.com
puis j’ai lancé l’installation graphique (setup classique sous Windows).
[email protected]
�Thierno Cherif HANE
[email protected]
�Thierno Cherif HANE
2. Configuration de l’agent
Ouvrir un terminal sur le serveur Wazuh
Exécuter l’outil de gestion des agents :
/var/ossec/bin/manage_agents
[email protected]
�Thierno Cherif HANE
Ensuite, on dois extraire la clé d’authentification :
Toujours dans le menu, on tape :
E
• Choisis l’ID de l’agent à extraire (par exemple 001)
• La clé te sera affichée : copie-la pour la coller ensuite sur l’agent Windows.
[email protected]
�Thierno Cherif HANE
Après suis allé sur la machine cliente j’ai ouvert le programme « Wazuh Agent » j’ai rempli
les champs suivants :
• Manager IP : 10.5.20.10 (adresse de mon serveur Wazuh)
• Authentication key : j’ai copié la clé fournie par le manager via
/var/ossec/bin/manage_agents
[email protected]
�Thierno Cherif HANE
[email protected]
�Thierno Cherif HANE
[email protected]
�Thierno Cherif HANE
V. Conclusion
Ce projet m’a permis de mettre en place une solution de supervision avec Wazuh sur un
serveur Debian, ainsi que deux agents sous Linux et Windows. Grâce à cette installation, j’ai
pu centraliser les journaux et détecter d’éventuelles intrusions. Ce travail m’a aidé à mieux
comprendre les bases de la sécurité réseau et l’importance de la surveillance des systèmes.
[email protected]
