Aller au contenu

Wazuh

Dans cet article

Note

Le Wazuh est une plateforme open-source complète pour la surveillance de la sécurité et la détection des menaces. Il fournit une solution centralisée pour l'analyse de la sécurité, incluant la détection d'intrusion, la surveillance de l'intégrité des fichiers et la conformité aux exigences réglementaires. La plateforme est construite sur une architecture modulaire et prend en charge l'évolutivité, permettant la protection à la fois des petites organisations et des grandes entreprises.

Wazuh. Fonctionnalités principales

  • Détection d'intrusion - Surveillance des événements système et réseau pour identifier les activités suspectes et les cyberattaques.
  • Surveillance de l'intégrité des fichiers - Suivi des modifications des fichiers et répertoires critiques pour prévenir les modifications non autorisées.
  • Analyse des journaux d'événements - Collecte et analyse centralisées des journaux provenant de diverses sources en utilisant des règles de corrélation pour détecter les menaces.
  • Détection de logiciels malveillants - Analyse des systèmes à la recherche de logiciels malveillants à l'aide d'analyses basées sur les signatures et le comportement.
  • Évaluation des vulnérabilités - Analyse continue des logiciels installés pour les vulnérabilités connues.
  • Contrôle de conformité - Vérification des systèmes par rapport aux normes de sécurité (PCI DSS, RGPD, HIPAA, NIST, etc.).
  • Sécurité cloud - Surveillance et protection des ressources dans les environnements cloud publics (AWS, Azure, Google Cloud).
  • Intégration et réponse - Interaction avec les systèmes de sécurité externes et automatisation des processus de réponse aux incidents.

Fonctionnalités de déploiement

ID Nom du logiciel Système d'exploitation compatible VM BM VGPU GPU Min CPU (Cœurs) Min RAM (Go) Min HDD/SSD (Go) Actif
283 Wazuh Ubuntu 22.04 + + + + 2 4 10 COMMANDER
  • L'installation est possible sur Ubuntu 22.04 ;
  • Le temps d'installation est de 30 à 60 minutes, incluant l'installation du système d'exploitation ;
  • Installation complète du serveur Wazuh + Indexeur + Tableau de bord ;
  • Le tableau de bord Wazuh est accessible via le port 8080 avec une connexion HTTPS sécurisée ;
  • Vérification automatique de la santé du cluster après l'installation ;
  • Les identifiants d'administrateur sont générés automatiquement lors de l'installation ;
  • Les fichiers de configuration de Wazuh sont stockés dans le répertoire /var/ossec ;
  • Les composants du tableau de bord Wazuh sont situés dans /usr/share/wazuh-dashboard ;
  • Les fichiers de scripts d'installation se trouvent dans le répertoire /opt/wazuh ;
  • Le mot de passe d'administrateur est stocké dans le fichier /opt/wazuh/password au format admin:Mot de passe ;
  • Chemin vers les archives d'installation : /opt/wazuh/wazuh-install-files.tar .

Pour que Wazuh fonctionne correctement, les ressources système minimales suivantes sont requises :

  • Processeur : au moins 2 cœurs CPU ;
  • RAM : au moins 4 Go ;
  • Espace disque : recommandé à partir de 50 Go SSD/HDD :
  • Le volume peut augmenter en fonction du nombre d'agents et de l'intensité des événements ;
  • Pour les environnements de production avec de nombreux agents, il est recommandé d'avoir 100 Go ou plus.

Note

Ces exigences concernent une installation de base de Wazuh avec un petit nombre d'agents. Les environnements plus importants peuvent nécessiter un matériel plus puissant.

Note

À moins d'indication contraire, nous installons par défaut la dernière version de sortie du logiciel depuis le site Web du développeur ou les dépôts du système d'exploitation.

Commencer après le déploiement de Wazuh

Après le paiement de la commande, une notification de disponibilité du serveur sera envoyée à l’adresse e‑mail indiquée lors de l’inscription. Elle contiendra l’adresse IP du VPS, ainsi que le login et le mot de passe pour la connexion. Les clients de notre société gèrent le matériel dans le panneau de contrôle du serveur et l’API - Invapi.

Vous pouvez également retrouver les identifiants, qui se trouvent soit dans l’onglet Info >> Tags du panneau de contrôle du serveur, soit dans l’e‑mail qui vous est envoyé :

  • Link to access the Wazuh webpanel : dans le tag webpanel
  • Login : root – pour gérer le serveur, admin – pour se connecter à l’interface web de Wazuh
  • Password pour la gestion du serveur : envoyé à votre adresse e‑mail après que le serveur soit prêt à l’usage suite au déploiement du logiciel.

Obtenir les identifiants et se connecter au panneau Web

Pour accéder au panneau de contrôle web Wazuh, vous devez obtenir les identifiants administrateur générés automatiquement lors de l’installation. Ces informations ne sont pas définies manuellement et ne peuvent pas être connues à l’avance ; pour les récupérer, suivez ces étapes :

  1. Connectez‑vous au serveur via SSH en tant qu’administrateur : 
    ssh root@<IP du serveur>
  2. Vérifiez le fichier contenant les identifiants enregistrés : 
    cat /opt/wazuh/password
    Les données seront au format admin:password :

Changer les identifiants

Après la première connexion, il est recommandé de changer le mot de passe par défaut de l’administrateur pour renforcer la sécurité :

  1. Cliquez sur l’icône de profil « a » dans le coin supérieur droit de l’interface.
  2. Dans le menu déroulant, sélectionnez Reset password :

  3. Sur la page ouverte, vous devez :

    • Saisir le mot de passe actuel dans le champ Current password ;
    • Saisir un nouveau mot de passe dans le champ New password, en respectant les exigences de sécurité :
    • Au moins 8 caractères ;
    • Au moins une majuscule ;
    • Au moins une minuscule ;
    • Au moins un chiffre ;
    • Au moins un caractère spécial ;
    • Retaper le nouveau mot de passe dans le champ Re-enter new password.

  4. Cliquez sur le bouton Reset pour enregistrer les modifications.

Note

Après avoir changé le mot de passe via l’interface web, les nouvelles identifiants ne seront pas automatiquement mis à jour dans le fichier /opt/wazuh/password.

Écran de démarrage du tableau de bord Wazuh

Après une connexion réussie, vous atteindrez l’écran de démarrage du tableau de bord Wazuh, qui donne un aperçu de l’état du système de sécurité :

À l’arrivée, vous verrez l’écran de démarrage du tableau de bord Wazuh, offrant une vue de l’état du système de sécurité. Les principaux éléments de l’interface sont :

  • Agent Summary — affiche le nombre d’agents Wazuh enregistrés. Lors de la première connexion, il affiche le message « This instance has no agents registered » et un bouton Deploy new agent pour ajouter de nouveaux objets de surveillance.
  • Last 24 Hours Alerts — affiche le nombre d’alertes dans quatre catégories : gravité critique (niveau 15+), gravité élevée (niveau 12‑14), gravité moyenne (niveau 7‑11) et gravité faible (niveau 0‑6).
  • Endpoint Security — comprend des modules tels que Configuration Assessment pour les audits de configuration, Malware Detection pour identifier les logiciels malveillants, et File Integrity Monitoring pour suivre les modifications de fichiers.
  • Threat Intelligence — propose des outils pour Threat Hunting afin d’analyser les alertes de sécurité, Vulnerability Detection pour découvrir les vulnérabilités, et MITRE ATT&CK pour faire correspondre les incidents avec les tactiques d’adversaires connues.
  • Security Operations — contient des modules pour la conformité aux différentes normes de sécurité, y compris PCI DSS, GDPR, HIPAA, NIST 800‑53, et TSC.
  • Cloud Security — permet de surveiller divers services cloud et conteneurs, y compris Docker, Amazon Web Services, Google Cloud, GitHub, et Office 365.

Commander un serveur avec Wazuh via l'API

Pour installer ce logiciel en utilisant l'API, suivez les instructions.