Déploiement d’un HIDS

WAZUH

Présenté le 19 Novembre 2022

 Plan:

1 Introduction

2 Installation

3 Déploiement Wazuh agents

4 Configuration

5 Test de Fonctionneent

6 Conclusion
2
1. Introduction
HIDS – Host Based Intrusion Detection System
o Un Système de Détection d’Intrusion basé sur l’Hôte ( HIDS )
o Le HIDS collecte, analyse et pré-corrèle les journaux d’un client et alerte si
une attaque, une utilisation frauduleuse (politique) ou une erreur détectée.
o Il vérifie l’intégrité des fichiers du système local, la détection des rootkits,
identifie les actions cachées des attaquants; des chevaux de Troie, des
Malware, …ect.
o HIDS conduit à des alertes en temps réel et a une réponse active
o HIDS s’intègre facilement avec les SIEM
o Le déploiement centralise des stratégies est effectue pour tous les agents
HIDS afin de surveiller la conformité du serveur.
4
OSSEC
o OSSEC est HIDS open source.
o Il a pour objectif de détecter un comportement anormal sur une machine.
o Il collecte les informations qui lui sont envoyées par les équipements, il
utilise les signatures ou le comportement pour détecter une anomalie.
o Un agent OSSEC est installe sur chacune des machines.

5
OSSEC

6
WAZUH
o Wazuh est une plateforme open source gratuite pour la détection
d’intrusion, la supervision de sécurité, la réponse aux incidents et le
contrôle de conformité.

o Il intègre OSSEC

o Il peut être utilise pour surveiller les points de terminaison, les services
cloud et les conteneurs, et pour agréger et analyser les données provenant
de source externes

7
WAZUH
o La solution Wazuh se compose d'un agent de sécurité des terminaux,
déployé sur les systèmes surveillés, et d'un serveur de gestion, qui collecte et
analyse les données recueillies par les agents. 

o En outre, Wazuh a été entièrement intégré à ElasticStack, fournissant un

moteur de recherche et un outil de visualisation de données qui permet aux
utilisateurs de naviguer dans leurs alertes de sécurité.

8
Capacités WAZUH
Une brève présentation de certains des cas d'utilisation les plus courants
de la solution Wazuh.

9
Architecture WAZUH
o L'architecture Wazuh est basée sur des agents , exécutés sur les terminaux
surveillés, qui transmettent les données de sécurité à un serveur central .
o Les périphériques sans agent tels que les pare-feu, les commutateurs, les
routeurs et les points d'accès sont pris en charge et peuvent soumettre
activement des données de journal via Syslog, SSH ou à l'aide de leur API. 
o  Le serveur central décode et analyse les informations entrantes et transmet
les résultats à l'indexeur Wazuh pour l'indexation et le stockage.
o Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs nœuds qui
communiquent entre eux pour effectuer des opérations de lecture et
d'écriture sur les index.

10
Architecture WAZUH

11
Composants WAZUH
Le schéma ci-dessous représente les composants Wazuh et le flux de données.

12
Indexeur WAZUH
o L'indexeur Wazuh est un moteur de recherche et d'analyse en texte intégral
hautement évolutif. 
o L'indexeur Wazuh stocke les données sous forme de documents
JSON. Chaque document met en corrélation un ensemble de clés, de noms
de champs ou de propriétés, avec leurs valeurs correspondantes 
o Un index est une collection de documents liés les uns aux autres.
o Wazuh utilise quatre index différents pour stocker différents types
d'événements : wazuh ‑ alertes, wazuh ‑ archives, wazuh ‑ surveillance,
wazuh ‑ statistiques

13
Serveur WAZUH
o Le composant serveur Wazuh analyse les données reçues des agents ,
déclenchant des alertes lorsque des menaces ou des anomalies sont
détectées. 
o Il est également utilisé pour gérer la configuration des agents à distance et
surveiller leur état.
o Le serveur Wazuh utilise des sources de renseignements sur les menaces
pour améliorer ses capacités de détection.
o  Il enrichit également les données d'alerte en utilisant le cadre 
MITRE ATT&CK et les exigences de conformité réglementaire telles que
PCI DSS, GDPR, HIPAA, CIS et NIST 800-53  fournissant un contexte utile
pour l'analyse de la sécurité.
14
Serveur WAZUH
Le schéma ci-dessous représente l'architecture et les composants du serveur :

15
WAZUH Dashboard
o Le tableau de bord Wazuh est une interface utilisateur Web flexible et
intuitive pour l'exploration, l'analyse et la visualisation des événements de
sécurité et des données d'alerte.

o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh.

o En outre, il fournit des fonctionnalités de contrôle d'accès basé sur les rôles
(RBAC), d'authentification unique (SSO) , Visualisation et analyse des
données, Surveillance et configuration des agents, Gestion de la plateforme,
Outils de développement

16
Agent WAZUH
o L'agent Wazuh est multiplateforme et s'exécute sur les hôtes que l'utilisateur
souhaite surveiller. 
o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh.
o L'agent Wazuh fournit des fonctionnalités clés pour améliorer la sécurité de
votre système.

17
Agent WAZUH
Le schéma ci-dessous représente l'architecture et les composants de l'agent :

18
2. Installation
Installation Alternatives
Toutes les alternatives incluent des instructions sur la façon d'installer les composants centraux de
Wazuh . Une fois ceux-ci installés, vous devez ensuite déployer des agents sur vos terminaux.

o Machines prêtes à l'emploi : Machine virtuelle (OVA) , Amazon Machine Images

(AMI)
o Conteneurs : Déploiement sur Docker , Déploiement sur Kubernetes
o Hors ligne
o Des sources : Installer le serveur Wazuh depuis les sources
o Options commerciales : Installation avec la licence de base Elastic Stack,
Installation avec Splunk
Machine virtuelle (OVA)
o Wazuh fournit une image de machine virtuelle pré-construite au format
Open Virtual Appliance (OVA). Cela peut être directement importé dans
VirtualBox ou d'autres systèmes de virtualisation compatibles OVA. 
o Téléchargez l' appliance virtuelle (OVA) , qui contient les composants
suivants :
o Cent OS 7
o Gestionnaire Wazuh 4.3.9
o Indexeur Wazuh 4.3.9
o Filebeat-OSS 7.10.2
o Tableau de bord Wazuh 4.3.9

21
Machine virtuelle (OVA)
o Exigences matérielles
Les exigences suivantes doivent être en place avant que la machine virtuelle
Wazuh puisse être importée dans un système d'exploitation hôte :

o Le système d'exploitation hôte doit être un système 64 bits.

o La virtualisation matérielle doit être activée sur le firmware de l'hôte.
o Une plate-forme de virtualisation, telle que VirtualBox, doit être installée sur le
système hôte.

22
Machine virtuelle (OVA)
o Par défaut, la VM Wazuh est configurée avec les spécifications suivantes :

NB: cette configuration matérielle peut être modifiée en fonction du nombre de

terminaux protégés et des données d'alerte indexées.

23
Machine virtuelle (OVA)
o Importer et accéder à la machine virtuelle
Tout d'abord, importez l'OVA sur la plate-forme de virtualisation et démarrez la
machine.

Utilisez l'utilisateur et le mot de passe suivants pour accéder à la machine

virtuelle. Vous pouvez utiliser la plateforme de virtualisation ou y accéder via
SSH.

o user: wazuh-user
o password: wazuh

NB: Le mot de passe de l’utilisateur root est wazuh

24
Machine virtuelle (OVA)
o Accéder au tableau de bord Wazuh
Peu de temps après le démarrage de la VM, le tableau de bord Wazuh est
accessible depuis l'interface Web en utilisant les informations d'identification
suivantes :

o URL: https://<wazuh_server_ip>
o user: admin
o password: admin

NB: vous pouvez changer le mot de passe.

25
Machine virtuelle (OVA)
o Fichiers de configuration
Tous les composants inclus dans cette image virtuelle sont configurés pour
fonctionner immédiatement, sans qu'il soit nécessaire de modifier les paramètres.
Cependant, tous les composants peuvent être entièrement personnalisés. Voici les
emplacements des fichiers de configuration :

o Responsbale Wazuh: /var/ossec/etc/ossec.conf

o Indexeur Wazuh: /etc/wazuh-indexer/opensearch.yml
o Filebeat-OSS: /etc/filebeat/filebeat.yml
o Tableau de bord Wazuh:
o /etc/wazuh-dashboard/opensearch_dashbords.yml
o /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml
26
3. Déploiement des agents
Wazuh
Déployer des agents Wazuh sur des systèmes Linux
(Debian)
o Ajouter le référentiel Wazuh
Ajoutez le référentiel Wazuh pour télécharger les packages officiels.
1. Installez la clé GPG  : ~# curl -s https://packages.wazuh.com/key/GPG-KEY-
WAZUH | gpg --no-default-keyring --keyring
gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644
/usr/share/keyrings/wazuh.gpg
2. Ajoutez le dépôt : ~# echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg]
https://packages.wazuh.com/4.x/apt/ stable main" | tee -a
/etc/apt/sources.list.d/wazuh.list
3. Mettez à jour les informations sur le package : ~# apt-get update

28
Déployer des agents Wazuh sur des systèmes Linux
(Debian)
o Déployer un agent Wazuh
1. Pour déployer l'agent Wazuh sur votre système, sélectionnez votre gestionnaire de
packages et modifiez la WAZUH_MANAGER variable pour qu'elle contienne
l'adresse IP ou le nom d'hôte de votre gestionnaire Wazuh :
~# WAZUH_MANAGER="<wazuh-manager adrress>" apt-get install wazuh-
agent
2. Activez et démarrez le service d'agent Wazuh :
~# systemctl daemon-reload
~# systemctl enable wazuh-agent
~# systemctl start wazuh-agent
29
Déployer des agents Wazuh sur des systèmes Linux
(Debian)
o Désinstaller un agent Wazuh
Pour désinstaller l'agent, exécutez les commandes suivantes :
1. Supprimez l'installation de l'agent Wazuh:
~# apt-get remove wazuh-agent
~# apt-get remove --purge wazuh-agent
2. Désactivez le service d'agent Wazuh.

~# systemctl disable wazuh-agent

~# systemctl daemon-reload

30
Installation des agents Wazuh sur les systèmes
Windows
L'agent s'exécute sur l'hôte que vous souhaitez surveiller et communique avec le
gestionnaire Wazuh, en envoyant des données en temps quasi réel via un canal crypté et
authentifié.

o Pour démarrer le processus d'installation, téléchargez le programme d' 

installation de Windows .
o Sélectionnez la méthode d'installation que vous souhaitez suivre : interface de
ligne de commande (CLI) ou interface utilisateur graphique (GUI).

31
Installation des agents Wazuh sur les systèmes
Windows
1. CLI:
Pour déployer l'agent Wazuh sur votre système, choisissez l'une des alternatives du
shell de commande et modifiez la  WAZUH_MANAGER variable afin qu'elle
contienne l'adresse IP ou le nom d'hôte du gestionnaire Wazuh.
• Utilisation de CMD :
wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager
adrress>“
• Utilisation de PowerShell :
.\wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager
adrress>"
32
NB : Vous pouvez démarrer l'agent Wazuh à partir de l'interface graphique ou en exécutant :
Installation des agents Wazuh sur les systèmes
Windows
1. Interface graphique:
Pour installer l'agent Wazuh sur votre système, exécutez le programme d'installation
de Windows et suivez les étapes de l'assistant d'installation. 

33
Désinstaller un agent Wazuh
Pour désinstaller l'agent, le fichier d'installation Windows d'origine est requis pour
effectuer le processus sans surveillance :
msiexec.exe /x wazuh-agent-4.3.9-1.msi /qn

34
Installation des agents Wazuh
Vous pouvez également déployer un nouvel agent en suivant les instructions du tableau
de bord Wazuh. Allez dans Wazuh > Agents, et cliquez sur Déployer un nouvel agent.

Ensuite, le tableau de bord Wazuh vous montrera les étapes pour déployer un
nouvel agent. 35
4.Configuration
Changer la distribution ouverte pour
Elasticsearchle mot de passes
Télécharger script pour simplifier le processus de changement du mot de passes:
~# curl -so wazuh-opendistro-passwords-tool
https://packages.wazuh.com/4.3/wazuh-opendistro-passwords-tool.sh
• Changer lale mot de passepour utilisateur unique
Pour changer le mot de passe pour un seul utilisateur, exécutez le script avec l’ -u option. Vous
pouvez indiquer le nouveau mot de passe avec options -p . Si aucun mot de passe n'est spécifié,
le script en générera un aléatoire.
~# bash wazuh-opendistro-passwords-tool -u admin -p mypassword
~# systemctl restart wazuh-manager

37
Exécution d'une analyse de vulnérabilité
L'exemple suivant montre comment configurer les composants
nécessaires pour exécuter le processus de détection de
vulnérabilité.
1. Activez le module d'agent utilisé pour collecter les
packages installés sur le système surveillé. Cela peut être
fait en ajoutant le bloc de paramètres suivant à votre fichier
de configuration d'agent partagé :

NB: Si vous souhaitez scanner les vulnérabilités des agents

Windows, vous devrez également ajouter le :
<hotfixes>yes</hotfixes>
38
Exécution d'une analyse de vulnérabilité
1. Activer le module gestionnaire utilisé pour
détecter les vulnérabilités. Vous pouvez le faire en
ajoutant un bloc comme celui-ci au fichier de
configuration de votre gestionnaire :
NB: N'oubliez pas de redémarrer le gestionnaire pour
appliquer les modifications :
~# systemctl restart wazuh-manager

39
Détecter les modifications du système de fichiers
Le système Wazuh syscheck est responsable de la surveillance de l'intégrité des fichiers
(FIM) et de la surveillance des modifications du registre.
1. Préparation
Pour activer l'agent Wazuh et la journalisation de débogage syscheck sur le fichier windows-
agent . Démarrez le Bloc -notes avec l' option Exécuter en tant qu'administrateur et saisissez le
texte suivant :
windows.debug=2
rootcheck.sleep=0
syscheck.sleep=0

40
Détecter les modifications du système de fichiers
2. Configuration du FIM
Exécutez le Wazuh Agent Manager ( ) et cliquez sur View > View Config et remplacez la grande
section <syscheck> par défaut par la configuration suivante :

<syscheck>
<disabled>no</disabled>
<scan_on_start>yes</scan_on_start>
<frequency>300</frequency>
<directories check_all="yes" realtime="yes" report_changes="yes">C:/MonDossier1</directories>
<directories check_all="yes">C:/ MonDossier2</directories>
</syscheck>

Fermez et enregistrez votre fichier de configuration modifié. Redémarrez ensuite l'agent Wazuh

( Gérer > Redémarrer ).
41
Intégration de VirusTotal

Wazuh peut analyser les fichiers surveillés à la recherche de contenu malveillant dans les
fichiers surveillés. Cette solution est possible grâce à une intégration avec VirusTotal, qui
est une plate-forme puissante qui regroupe plusieurs produits antivirus avec un moteur
d'analyse en ligne.
La combinaison de cet outil avec notre moteur FIM fournit un moyen simple d'analyser les
fichiers qui sont surveillés pour les inspecter à la recherche de contenu malveillant.

42
Intégration de VirusTotal
o À propos de Virus Total
• VirusTotal est un service en ligne qui analyse les fichiers et les URL pour détecter les virus, vers,
chevaux de Troie et autres types de contenus malveillants à l'aide de moteurs antivirus et
d'analyseurs de sites Web. Il a également la capacité de détecter les faux positifs.
• VirusTotal est un service gratuit avec de nombreuses fonctionnalités utiles. Pour notre propos,
nous soulignerons les points suivants :
• VirusTotal stocke toutes les analyses qu'il effectue, permettant de rechercher le hachage d'un
fichier spécifique. 
• VirusTotal fournit également une API qui permet d'accéder aux informations générées par
VirusTotal sans avoir besoin d'utiliser l'interface HTML du site Web.

43
Intégration de VirusTotal
o Cas d'utilisation : analyse d'un fichier
Suivez les instructions de l' intégration avec des API externes pour activer le démon Integrator et
configurer l'intégration de VirusTotal.

Voici un exemple de configuration à ajouter sur le ossec.conf fichier :

44
Intégration de VirusTotal
o Utilisation de FIM pour surveiller un répertoire
Pour ce cas d'utilisation, nous montrerons comment surveiller le dossier /media/user/software avec un ag

1. Les éléments suivants doivent être ajoutés à <syscheck> la section du fichier de configuration :

2. Après avoir appliqué la configuration, vous devez redémarrer le gestionnaire Wazuh :

~# systemctl restart wazuh-manager

45
Détéction des tentatives de connexion refusées
avec des comptes non existants
o Attaque

o Alert Wazuh (Agent Debian)

46
Détéction des tentatives de connexion refusées
avec des comptes existants
o Attaque

47
Détéction des tentatives de connexion refusées
avec des comptes existants
o Alert Wazuh (Agent Debian)

48
Détéction des tentatives de connexion refusées
avec des comptes existants
o Alert Wazuh (Agent Debian)

49
Détéction d’une attaque force brute sur ssh
o Attaque

50
Détéction d’une attaque force brute sur ssh
o Alert Wazuh (Agent Debian)

51
Détéction d’une attaque force brute sur ssh
o Alert Wazuh (Agent Debian)

52
5.Test de Fonctionneent
Captures d’écran
o Présentation des modules

54
Captures d’écran
o Présentation des agent

55
Captures d’écran
o Conformité réglementaire

56
Captures d’écran
o Détection de vulnérabilité

57
Captures d’écran
o Événements de sécurité

58
Captures d’écran
o Résumé des agents

59
Captures d’écran
o Surveillance de l’intégrité des fichiers

60
Captures d’écran
o Surveillance de l’intégrité des fichiers

61
Démonstration

62
6.Conclusion
Conclusion
● Avec le technologies Wazuh l'utilisation des techniques de détection
d'intrusion basées sur les signatures et les anomalies permettent de simplifier
la détection des menaces et de rendre leur analyse plus efficace.

● D'autre part, l'intégration d'un IDS hôte (pour monitorer les systèmes au
niveau de l'hôte) et d'un IDS réseau (pour inspecter le trafic réseau) permet
aussi d'améliorer la détection des menaces et la visibilité en matière de
sécurité. Wazuh simplifie tout cela, car il permet d'intégrer les systèmes IDS
hôte et réseau à la Suite Elastic, et est en mesure de fournir des mécanismes
pour déclencher des réponses automatiques et bloquer des attaques en temps
réel.
64
Merci pour votre attention!

65