Académique Documents
Professionnel Documents
Culture Documents
WAZUH
1 Introduction
2 Installation
4 Configuration
5 Test de Fonctionneent
6 Conclusion
2
1. Introduction
HIDS – Host Based Intrusion Detection System
o Un Système de Détection d’Intrusion basé sur l’Hôte ( HIDS )
o Le HIDS collecte, analyse et pré-corrèle les journaux d’un client et alerte si
une attaque, une utilisation frauduleuse (politique) ou une erreur détectée.
o Il vérifie l’intégrité des fichiers du système local, la détection des rootkits,
identifie les actions cachées des attaquants; des chevaux de Troie, des
Malware, …ect.
o HIDS conduit à des alertes en temps réel et a une réponse active
o HIDS s’intègre facilement avec les SIEM
o Le déploiement centralise des stratégies est effectue pour tous les agents
HIDS afin de surveiller la conformité du serveur.
4
OSSEC
o OSSEC est HIDS open source.
o Il a pour objectif de détecter un comportement anormal sur une machine.
o Il collecte les informations qui lui sont envoyées par les équipements, il
utilise les signatures ou le comportement pour détecter une anomalie.
o Un agent OSSEC est installe sur chacune des machines.
5
OSSEC
6
WAZUH
o Wazuh est une plateforme open source gratuite pour la détection
d’intrusion, la supervision de sécurité, la réponse aux incidents et le
contrôle de conformité.
o Il intègre OSSEC
o Il peut être utilise pour surveiller les points de terminaison, les services
cloud et les conteneurs, et pour agréger et analyser les données provenant
de source externes
7
WAZUH
o La solution Wazuh se compose d'un agent de sécurité des terminaux,
déployé sur les systèmes surveillés, et d'un serveur de gestion, qui collecte et
analyse les données recueillies par les agents.
8
Capacités WAZUH
Une brève présentation de certains des cas d'utilisation les plus courants
de la solution Wazuh.
9
Architecture WAZUH
o L'architecture Wazuh est basée sur des agents , exécutés sur les terminaux
surveillés, qui transmettent les données de sécurité à un serveur central .
o Les périphériques sans agent tels que les pare-feu, les commutateurs, les
routeurs et les points d'accès sont pris en charge et peuvent soumettre
activement des données de journal via Syslog, SSH ou à l'aide de leur API.
o Le serveur central décode et analyse les informations entrantes et transmet
les résultats à l'indexeur Wazuh pour l'indexation et le stockage.
o Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs nœuds qui
communiquent entre eux pour effectuer des opérations de lecture et
d'écriture sur les index.
10
Architecture WAZUH
11
Composants WAZUH
Le schéma ci-dessous représente les composants Wazuh et le flux de données.
12
Indexeur WAZUH
o L'indexeur Wazuh est un moteur de recherche et d'analyse en texte intégral
hautement évolutif.
o L'indexeur Wazuh stocke les données sous forme de documents
JSON. Chaque document met en corrélation un ensemble de clés, de noms
de champs ou de propriétés, avec leurs valeurs correspondantes
o Un index est une collection de documents liés les uns aux autres.
o Wazuh utilise quatre index différents pour stocker différents types
d'événements : wazuh ‑ alertes, wazuh ‑ archives, wazuh ‑ surveillance,
wazuh ‑ statistiques
13
Serveur WAZUH
o Le composant serveur Wazuh analyse les données reçues des agents ,
déclenchant des alertes lorsque des menaces ou des anomalies sont
détectées.
o Il est également utilisé pour gérer la configuration des agents à distance et
surveiller leur état.
o Le serveur Wazuh utilise des sources de renseignements sur les menaces
pour améliorer ses capacités de détection.
o Il enrichit également les données d'alerte en utilisant le cadre
MITRE ATT&CK et les exigences de conformité réglementaire telles que
PCI DSS, GDPR, HIPAA, CIS et NIST 800-53 fournissant un contexte utile
pour l'analyse de la sécurité.
14
Serveur WAZUH
Le schéma ci-dessous représente l'architecture et les composants du serveur :
15
WAZUH Dashboard
o Le tableau de bord Wazuh est une interface utilisateur Web flexible et
intuitive pour l'exploration, l'analyse et la visualisation des événements de
sécurité et des données d'alerte.
o En outre, il fournit des fonctionnalités de contrôle d'accès basé sur les rôles
(RBAC), d'authentification unique (SSO) , Visualisation et analyse des
données, Surveillance et configuration des agents, Gestion de la plateforme,
Outils de développement
16
Agent WAZUH
o L'agent Wazuh est multiplateforme et s'exécute sur les hôtes que l'utilisateur
souhaite surveiller.
o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh.
o L'agent Wazuh fournit des fonctionnalités clés pour améliorer la sécurité de
votre système.
17
Agent WAZUH
Le schéma ci-dessous représente l'architecture et les composants de l'agent :
18
2. Installation
Installation Alternatives
Toutes les alternatives incluent des instructions sur la façon d'installer les composants centraux de
Wazuh . Une fois ceux-ci installés, vous devez ensuite déployer des agents sur vos terminaux.
21
Machine virtuelle (OVA)
o Exigences matérielles
Les exigences suivantes doivent être en place avant que la machine virtuelle
Wazuh puisse être importée dans un système d'exploitation hôte :
22
Machine virtuelle (OVA)
o Par défaut, la VM Wazuh est configurée avec les spécifications suivantes :
23
Machine virtuelle (OVA)
o Importer et accéder à la machine virtuelle
Tout d'abord, importez l'OVA sur la plate-forme de virtualisation et démarrez la
machine.
o user: wazuh-user
o password: wazuh
o URL: https://<wazuh_server_ip>
o user: admin
o password: admin
25
Machine virtuelle (OVA)
o Fichiers de configuration
Tous les composants inclus dans cette image virtuelle sont configurés pour
fonctionner immédiatement, sans qu'il soit nécessaire de modifier les paramètres.
Cependant, tous les composants peuvent être entièrement personnalisés. Voici les
emplacements des fichiers de configuration :
28
Déployer des agents Wazuh sur des systèmes Linux
(Debian)
o Déployer un agent Wazuh
1. Pour déployer l'agent Wazuh sur votre système, sélectionnez votre gestionnaire de
packages et modifiez la WAZUH_MANAGER variable pour qu'elle contienne
l'adresse IP ou le nom d'hôte de votre gestionnaire Wazuh :
~# WAZUH_MANAGER="<wazuh-manager adrress>" apt-get install wazuh-
agent
2. Activez et démarrez le service d'agent Wazuh :
~# systemctl daemon-reload
~# systemctl enable wazuh-agent
~# systemctl start wazuh-agent
29
Déployer des agents Wazuh sur des systèmes Linux
(Debian)
o Désinstaller un agent Wazuh
Pour désinstaller l'agent, exécutez les commandes suivantes :
1. Supprimez l'installation de l'agent Wazuh:
~# apt-get remove wazuh-agent
~# apt-get remove --purge wazuh-agent
2. Désactivez le service d'agent Wazuh.
30
Installation des agents Wazuh sur les systèmes
Windows
L'agent s'exécute sur l'hôte que vous souhaitez surveiller et communique avec le
gestionnaire Wazuh, en envoyant des données en temps quasi réel via un canal crypté et
authentifié.
31
Installation des agents Wazuh sur les systèmes
Windows
1. CLI:
Pour déployer l'agent Wazuh sur votre système, choisissez l'une des alternatives du
shell de commande et modifiez la WAZUH_MANAGER variable afin qu'elle
contienne l'adresse IP ou le nom d'hôte du gestionnaire Wazuh.
• Utilisation de CMD :
wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager
adrress>“
• Utilisation de PowerShell :
.\wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager
adrress>"
32
NB : Vous pouvez démarrer l'agent Wazuh à partir de l'interface graphique ou en exécutant :
Installation des agents Wazuh sur les systèmes
Windows
1. Interface graphique:
Pour installer l'agent Wazuh sur votre système, exécutez le programme d'installation
de Windows et suivez les étapes de l'assistant d'installation.
33
Désinstaller un agent Wazuh
Pour désinstaller l'agent, le fichier d'installation Windows d'origine est requis pour
effectuer le processus sans surveillance :
msiexec.exe /x wazuh-agent-4.3.9-1.msi /qn
34
Installation des agents Wazuh
Vous pouvez également déployer un nouvel agent en suivant les instructions du tableau
de bord Wazuh. Allez dans Wazuh > Agents, et cliquez sur Déployer un nouvel agent.
Ensuite, le tableau de bord Wazuh vous montrera les étapes pour déployer un
nouvel agent. 35
4.Configuration
Changer la distribution ouverte pour
Elasticsearchle mot de passes
Télécharger script pour simplifier le processus de changement du mot de passes:
~# curl -so wazuh-opendistro-passwords-tool
https://packages.wazuh.com/4.3/wazuh-opendistro-passwords-tool.sh
• Changer lale mot de passepour utilisateur unique
Pour changer le mot de passe pour un seul utilisateur, exécutez le script avec l’ -u option. Vous
pouvez indiquer le nouveau mot de passe avec options -p . Si aucun mot de passe n'est spécifié,
le script en générera un aléatoire.
~# bash wazuh-opendistro-passwords-tool -u admin -p mypassword
~# systemctl restart wazuh-manager
37
Exécution d'une analyse de vulnérabilité
L'exemple suivant montre comment configurer les composants
nécessaires pour exécuter le processus de détection de
vulnérabilité.
1. Activez le module d'agent utilisé pour collecter les
packages installés sur le système surveillé. Cela peut être
fait en ajoutant le bloc de paramètres suivant à votre fichier
de configuration d'agent partagé :
39
Détecter les modifications du système de fichiers
Le système Wazuh syscheck est responsable de la surveillance de l'intégrité des fichiers
(FIM) et de la surveillance des modifications du registre.
1. Préparation
Pour activer l'agent Wazuh et la journalisation de débogage syscheck sur le fichier windows-
agent . Démarrez le Bloc -notes avec l' option Exécuter en tant qu'administrateur et saisissez le
texte suivant :
windows.debug=2
rootcheck.sleep=0
syscheck.sleep=0
40
Détecter les modifications du système de fichiers
2. Configuration du FIM
Exécutez le Wazuh Agent Manager ( ) et cliquez sur View > View Config et remplacez la grande
section <syscheck> par défaut par la configuration suivante :
<syscheck>
<disabled>no</disabled>
<scan_on_start>yes</scan_on_start>
<frequency>300</frequency>
<directories check_all="yes" realtime="yes" report_changes="yes">C:/MonDossier1</directories>
<directories check_all="yes">C:/ MonDossier2</directories>
</syscheck>
Wazuh peut analyser les fichiers surveillés à la recherche de contenu malveillant dans les
fichiers surveillés. Cette solution est possible grâce à une intégration avec VirusTotal, qui
est une plate-forme puissante qui regroupe plusieurs produits antivirus avec un moteur
d'analyse en ligne.
La combinaison de cet outil avec notre moteur FIM fournit un moyen simple d'analyser les
fichiers qui sont surveillés pour les inspecter à la recherche de contenu malveillant.
42
Intégration de VirusTotal
o À propos de Virus Total
• VirusTotal est un service en ligne qui analyse les fichiers et les URL pour détecter les virus, vers,
chevaux de Troie et autres types de contenus malveillants à l'aide de moteurs antivirus et
d'analyseurs de sites Web. Il a également la capacité de détecter les faux positifs.
• VirusTotal est un service gratuit avec de nombreuses fonctionnalités utiles. Pour notre propos,
nous soulignerons les points suivants :
• VirusTotal stocke toutes les analyses qu'il effectue, permettant de rechercher le hachage d'un
fichier spécifique.
• VirusTotal fournit également une API qui permet d'accéder aux informations générées par
VirusTotal sans avoir besoin d'utiliser l'interface HTML du site Web.
43
Intégration de VirusTotal
o Cas d'utilisation : analyse d'un fichier
Suivez les instructions de l' intégration avec des API externes pour activer le démon Integrator et
configurer l'intégration de VirusTotal.
44
Intégration de VirusTotal
o Utilisation de FIM pour surveiller un répertoire
Pour ce cas d'utilisation, nous montrerons comment surveiller le dossier /media/user/software avec un ag
1. Les éléments suivants doivent être ajoutés à <syscheck> la section du fichier de configuration :
46
Détéction des tentatives de connexion refusées
avec des comptes existants
o Attaque
47
Détéction des tentatives de connexion refusées
avec des comptes existants
o Alert Wazuh (Agent Debian)
48
Détéction des tentatives de connexion refusées
avec des comptes existants
o Alert Wazuh (Agent Debian)
49
Détéction d’une attaque force brute sur ssh
o Attaque
50
Détéction d’une attaque force brute sur ssh
o Alert Wazuh (Agent Debian)
51
Détéction d’une attaque force brute sur ssh
o Alert Wazuh (Agent Debian)
52
5.Test de Fonctionneent
Captures d’écran
o Présentation des modules
54
Captures d’écran
o Présentation des agent
55
Captures d’écran
o Conformité réglementaire
56
Captures d’écran
o Détection de vulnérabilité
57
Captures d’écran
o Événements de sécurité
58
Captures d’écran
o Résumé des agents
59
Captures d’écran
o Surveillance de l’intégrité des fichiers
60
Captures d’écran
o Surveillance de l’intégrité des fichiers
61
Démonstration
62
6.Conclusion
Conclusion
● Avec le technologies Wazuh l'utilisation des techniques de détection
d'intrusion basées sur les signatures et les anomalies permettent de simplifier
la détection des menaces et de rendre leur analyse plus efficace.
● D'autre part, l'intégration d'un IDS hôte (pour monitorer les systèmes au
niveau de l'hôte) et d'un IDS réseau (pour inspecter le trafic réseau) permet
aussi d'améliorer la détection des menaces et la visibilité en matière de
sécurité. Wazuh simplifie tout cela, car il permet d'intégrer les systèmes IDS
hôte et réseau à la Suite Elastic, et est en mesure de fournir des mécanismes
pour déclencher des réponses automatiques et bloquer des attaques en temps
réel.
64
Merci pour votre attention!
65