[Cybersécurité] La plateforme Open Source Wazuh

Bambusa29

Bambusa29

Chevalier Jedi
Membre Confirmé
10 Avril 2022
443
201
93
J'ai installé la plateforme Open Source Wazuh sur un mini PC sous Debian 12.
C'est un XDR/SIEM Open source vraiment très complet.
Je commence à me l'approprier, mais ces possibilités sont vastes.

Il y a un superviseur, un indexeur et une interface web pour le coté serveur.
Il y a des agents à déployer sur les machines (Linux, Windows...) pour la récolte d'informations.
Il est facile de rajouter des règles d'audit coté clients à remonter au superviseur (voir capture écran).

L'installation est relativement simple avec leur script d'installation. Il est possible aussi de l'installer via docker.
Le WebUI est relativement complet et permet de voir rapidement toutes les anomalies détecter.

Quelques captures :

Le tableau de bord principal :

wazuh01.png

Les machines clientes déjà surveillés :

wazuh02.png

La fonction 'Threat Hunting' : J'ai filtré les resultats pour ne prendre que ceux qui ont une gravité supérieur à 7.

wazuh_th01.png

Test de l'activation d'un audit des fichiers critiques '/etc/password', répertoire '.ssh'... etc sur un de mes postes pour verifier que cela remonte bien au superviseur en cas de 'matching' !!

wazuh_th02.png

Le cas de mon poste Windows : 60 points critiques !! Le coupable est Thunderbird. Je vais le désinstaller, je suis passé sous Proton mail, il y a peu.

wazuh03.png


Les vulnérabilités détectés sur tout le parc avec leur lien CVE en ligne :

wazuh04.png


Bref, un super outils !!

Pas mal de problème de sécurité trouvés avec cet outils et pour certains pas de correctif existant à l'heure actuel ; le mieux est de désinstaller si nous n'en n'avons pas l'utilité : cas concret 'inetutils telnetd' par exemple sur les Debian.... qui n'est plus vraiment utile.
 
  • J'aime
Réactions: electroger, Titux et FX Cachem
Oui Wazuh est une solution efficace. J'ai déjà pu l'utiliser (sans le mettre en place) et c'est assez instinctif.

Merci pour ton retour. Tu aurais une source pour un tuto sur l'installation d'un Debian ?
 
Titux a dit:
Oui Wazuh est une solution efficace. J'ai déjà pu l'utiliser (sans le mettre en place) et c'est assez instinctif.

Merci pour ton retour. Tu aurais une source pour un tuto sur l'installation d'un Debian ?
Cliquez pour agrandir...

Si ta question concerne l'installation de Wazuh sur un Linux Debian : QuickStart
Tout est automatique et ca fonctionne du 1er coup ; incroyable de simplicité !!
Je l'ai installé sur une Debian 13 Trixie, puis re-installer sur une Debian 12 (j'y ai déplacé mon Guacamole dessus entre temps et il ne fonctionne pas avec une Debian 13).
Mon Guacamole était avant en virtualisation et je me suis aperçue que quand je relançais le serveur de virtualisation, j'ai parfois plus accès à Guacamole et c'est un peu gênant (obliger de rebrancher un écran pour relancer le container) car je passe par lui pour accéder à tous mes serveurs en ssh :giggle:.

Si ta question concerne l'installation d'une Debian sur un ordinateur : je passe par une clé USB Bootable avec une image Debian installé dessus.
La procédure d'installation est intuitive et assez simple pour peu que tu laisse toutes les options en automatique. Tu lui indique seulement a la fin si tu veux installer ou pas d'environnements graphique (par défaut c'est coché oui).
Tu peux aussi l'installer sur une Ubuntu (c'est ce que conseil le site Wazuh).
 
Bambusa29 a dit:
Linux Debian : QuickStart
Cliquez pour agrandir...
Salut,
Je viens de la déployer sur une VM, juste pour voir à quoi cela ressemble (connais pas du tout ce type de logiciel)

{BED5F1F3-7873-4739-AC4D-31215CC8E15A}.png

En revanche, il faut mettre le traducteur

{A199C732-CED7-44F6-B274-0A6F38B1DF0C}.png

@Bambusa29 Question bête ... je peux l'utiliser sur cette VM Debian ?

Je viens de voir comment connecter les machines à surveiller (je testerai en rentrant ce soir).
 
Dernière édition:
  • J'aime
Réactions: Bambusa29
Bambusa29 a dit:
Si ta question concerne l'installation de Wazuh sur un Linux Debian : QuickStart
Tout est automatique et ca fonctionne du 1er coup ; incroyable de simplicité !!
Je l'ai installé sur une Debian 13 Trixie, puis re-installer sur une Debian 12 (j'y ai déplacé mon Guacamole dessus entre temps et il ne fonctionne pas avec une Debian 13).
Mon Guacamole était avant en virtualisation et je me suis aperçue que quand je relançais le serveur de virtualisation, j'ai parfois plus accès à Guacamole et c'est un peu gênant (obliger de rebrancher un écran pour relancer le container) car je passe par lui pour accéder à tous mes serveurs en ssh :giggle:.

Si ta question concerne l'installation d'une Debian sur un ordinateur : je passe par une clé USB Bootable avec une image Debian installé dessus.
La procédure d'installation est intuitive et assez simple pour peu que tu laisse toutes les options en automatique. Tu lui indique seulement a la fin si tu veux installer ou pas d'environnements graphique (par défaut c'est coché oui).
Tu peux aussi l'installer sur une Ubuntu (c'est ce que conseil le site Wazuh).
Cliquez pour agrandir...
Ah, je n'avais pas vu la mise à jour de la doc avec le QuickStart, c'est bien cela que je cherche. Il y a 2-3 ans dans un ancien job, je l'avais utilisé sans être l'admin de la solution. J'avais regardé la doc sans me souvenir que c'était si facile qu'aujourd'hui.
Faire la Debian ou Ubuntu, cela, je sais faire (et encore, je ne me souviens jamais quelles partitions créer. Vive mes notes !!!! :LOL:)
 
Salut
Et en résumé , elle sert à quoi cette application docker ?
J’ai une vague idée mais j’aimerais confirmation par ceux qui l’utilisent 😊
 
MilesTEG a dit:
Salut
Et en résumé , elle sert à quoi cette application docker ?
J’ai une vague idée mais j’aimerais confirmation par ceux qui l’utilisent 😊
Cliquez pour agrandir...

C'est un outil de collectage d'informations de ton parc informatique (des agents déployés sur chaque machine compatible) : cela vas de la santé de tes machines jusqu'aux couches applicatives (serveur web, emails, application docker...).

A partir de ce collectage, il analyse en temps réel les informations et génère des alertes suivants les critères que tu as définit au préalables.
Les analyses sont segmentés par le type de problèmes détectés (malware, faille de sécurité, problèmes de configuration, comportement suspicieux sur les machines... etc.).

A partir de la, tu peux établir des scenarios d'interventions sur les machines ciblés (scripts par exemple qui seront exécutés sur la machine incriminés pour le couper du réseau ou qui se patch automatiquement).

Moi je l'utilise par curiosité intellectuel et pour avoir un bilan de sécurité de toutes mes machines physiques et virtuelles. Je n'utilise pas de scénarios d'intervention ; c'est plutôt réservé aux entreprises et cela demande du temps de gérer ce type de plateforme.
 
  • J'aime
Réactions: MilesTEG
Ok merci ,
Va falloir que j’ajoute ça à ma pile de truc docker à essayer 😁
 
Très bon résumé.
Par expérience, ces outils le plus dur, c'est de savoir comment gérer les informations et les traiter. Et non de le mettre en place :LOL:
Cela peut devenir vite chronophage.

Comme le dit bien @Bambusa29, maintenir la solution en entreprise demande du temps. La sécurité évolue tout le temps et il faut rester à jour dans les scénarios.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour