Aller au contenu

Wazuh

Dans cet article

Remarque

Wazuh est une plateforme open-source complète pour la surveillance de la sécurité et la détection des menaces. Elle offre une solution centralisée pour l'analyse de la sécurité, incluant la détection d'intrusions, la surveillance de l'intégrité des fichiers et la conformité aux exigences réglementaires. La plateforme est construite sur une architecture modulaire et prend en charge l'évolutivité, permettant la protection à la fois des petites organisations et des grandes entreprises.

Wazuh. Fonctionnalités principales

  • Détection d'intrusions - Surveillance des événements système et réseau pour identifier les activités suspectes et les cyberattaques.
  • Surveillance de l'intégrité des fichiers - Suivi des modifications des fichiers et répertoires critiques pour prévenir les modifications non autorisées.
  • Analyse des journaux d'événements - Collecte et analyse centralisées des journaux provenant de diverses sources à l'aide de règles de corrélation pour détecter les menaces.
  • Détection de logiciels malveillants - Analyse des systèmes à la recherche de logiciels malveillants en utilisant des signatures et une analyse comportementale.
  • Évaluation des vulnérabilités - Analyse continue des logiciels installés pour les vulnérabilités connues.
  • Contrôle de conformité - Vérification des systèmes par rapport aux normes de sécurité (PCI DSS, RGPD, HIPAA, NIST, etc.).
  • Sécurité cloud - Surveillance et protection des ressources dans les environnements cloud publics (AWS, Azure, Google Cloud).
  • Intégration et réponse - Interaction avec les systèmes de sécurité externes et automatisation des processus de réponse aux incidents.

Fonctionnalités de déploiement

ID Nom du logiciel Système d'exploitation compatible VM BM VGPU GPU Min CPU (Cœurs) Min RAM (Go) Min HDD/SSD (Go) Domaine personnalisé Actif
283 Wazuh Ubuntu 22.04 + + + + 2 4 10 Non COMMANDER
  • L'installation est possible sur Ubuntu 22.04 ;
  • Le temps de configuration est de 30 à 60 minutes, incluant l'installation du système d'exploitation ;
  • Installation complète de Wazuh Server + Indexer + Dashboard ;
  • Wazuh Dashboard accessible via le port 8080 avec une connexion HTTPS sécurisée ;
  • Vérification automatique de l'état du cluster après l'installation ;
  • Les identifiants de l'administrateur sont générés automatiquement pendant l'installation ;
  • Les fichiers de configuration de Wazuh sont stockés dans le répertoire /var/ossec ;
  • Les composants de Wazuh Dashboard se trouvent dans /usr/share/wazuh-dashboard ;
  • Les fichiers de scripts d'installation se trouvent dans le répertoire /opt/wazuh ;
  • Le mot de passe de l'administrateur est stocké dans le fichier /opt/wazuh/password au format admin:mot_de_passe ;
  • Chemin vers les archives d'installation : /opt/wazuh/wazuh-install-files.tar.

Pour que Wazuh fonctionne correctement, les ressources système minimales suivantes sont requises :

  • Processeur : au moins 2 cœurs CPU ;
  • RAM : au moins 4 Go ;
  • Espace disque : recommandé à partir de 50 Go SSD/HDD :
  • Le volume peut augmenter en fonction du nombre d'agents et de l'intensité des événements ;
  • Pour les environnements de production avec de nombreux agents, il est recommandé de disposer de 100 Go ou plus.

Remarque

Ces exigences concernent une installation de base de Wazuh avec un petit nombre d'agents. Les environnements plus importants peuvent nécessiter du matériel plus puissant.

Remarque

Sauf indication contraire, nous installons par défaut la dernière version de sortie du logiciel depuis le site Web du développeur ou les dépôts du système d'exploitation.

Premiers pas après le déploiement de Wazuh

Après le paiement de la commande, une notification de la disponibilité du serveur sera envoyée à l'adresse e-mail spécifiée lors de l'inscription. Elle contiendra l'adresse IP du VPS, ainsi que les identifiants et le mot de passe pour la connexion. Les clients de notre entreprise gèrent le matériel dans le panneau de contrôle des serveurs et l'API - Invapi.

Vous pouvez également y trouver les identifiants, qui se trouvent soit dans l'onglet Configuration >> Tags du panneau de contrôle du serveur, soit dans l'e-mail qui vous a été envoyé :

  • Lien d'accès au webpanel Wazuh : dans la balise webpanel ;
  • Identifiant : root - pour la gestion du serveur, admin - pour la connexion à l'interface Web Wazuh ;
  • Mot de passe pour la gestion du serveur : Envoyé à votre adresse e-mail après que le serveur soit prêt à l'emploi suite au déploiement du logiciel.

Obtention des identifiants et connexion au panneau Web

Pour accéder au panneau de contrôle Web Wazuh, vous devez obtenir les identifiants d'administrateur générés automatiquement lors de l'installation. Ces détails ne sont pas définis manuellement et ne peuvent pas être connus à l'avance ; pour les récupérer, suivez ces étapes :

  1. Connectez-vous au serveur via SSH en tant qu'administrateur : 
    ssh root@<IP du serveur>
  2. Vérifiez le fichier contenant les identifiants sauvegardés : 
    cat /opt/wazuh/password
    Les données seront au format admin:mot_de_passe :

Modification des identifiants

Après la connexion initiale, il est recommandé de modifier le mot de passe par défaut de l'administrateur pour une sécurité accrue :

  1. Cliquez sur l'icône de profil "a" dans le coin supérieur droit de l'interface.

  2. Dans le menu déroulant, sélectionnez Reset password :

  3. Sur la page ouverte, vous devez :

    • Saisir le mot de passe actuel dans le champ Current password ;
    • Saisir un nouveau mot de passe dans le champ New password, en respectant les exigences de sécurité :
    • Au moins 8 caractères ;
    • Au moins une lettre majuscule ;
    • Au moins une lettre minuscule ;
    • Au moins un chiffre ;
    • Au moins un caractère spécial.
    • Ressaisir le nouveau mot de passe dans le champ Re-enter new password.

  4. Cliquez sur le bouton Reset pour enregistrer les modifications.

Remarque

Après avoir modifié le mot de passe via l'interface Web, les nouveaux identifiants ne seront pas automatiquement mis à jour dans le fichier /opt/wazuh/password.

Écran de démarrage du tableau de bord Wazuh

Après une connexion réussie, vous accédez à l'écran de démarrage du tableau de bord Wazuh, qui fournit une vue d'ensemble de l'état du système de sécurité :

Après une connexion réussie, vous arrivez sur l'écran de démarrage du tableau de bord Wazuh, offrant une vue de l'état du système de sécurité. Les éléments principaux de l'interface incluent :

  • Agent Summary — affiche le nombre d'agents Wazuh enregistrés. Lors de la première connexion, il affiche le message "This instance has no agents registered" et un bouton Deploy new agent pour ajouter de nouveaux objets de surveillance.
  • Last 24 Hours Alerts — affiche le nombre d'alertes dans quatre catégories : Gravité critique (niveau 15+), Gravité élevée (niveau 12-14), Gravité moyenne (niveau 7-11) et Gravité faible (niveau 0-6).
  • Endpoint Security — inclut des modules tels que Configuration Assessment pour les audits de configuration, Malware Detection pour l'identification des logiciels malveillants et File Integrity Monitoring pour suivre les modifications de fichiers.
  • Threat Intelligence — offre des outils pour Threat Hunting afin d'analyser les alertes de sécurité, Vulnerability Detection pour découvrir les vulnérabilités et MITRE ATT&CK pour faire correspondre les incidents avec les tactiques d'adversaires connues.
  • Security Operations — contient des modules pour la conformité avec diverses normes de sécurité, y compris PCI DSS, RGPD, HIPAA, NIST 800-53 et TSC.
  • Cloud Security — permet la surveillance de divers services cloud et conteneurs, y compris Docker, Amazon Web Services, Google Cloud, GitHub et Office 365.

Tutoriel vidéo

Commande d'un serveur avec Wazuh via l'API