Wazuh – SIEM open-source
Wazuh: Le Gardien de Cyberespace
D’âpres le site officiel, Wazuh est une plateforme de sécurité gratuite et open source qui unifie la protection XDR et SIEM (Security Information and Event Management) pour les endpoints.
Wazuh n’est pas simplement un outil; c’est une armure, une sentinelle de votre infra. Il s’agit d’une solution de sécurité intégrée qui protège, détecte et réagit aux menaces dans les infrastructures informatiques. Combinant les capacités de détection des intrusions, de surveillance de la sécurité des fichiers, et de gestion des vulnérabilités, Wazuh est la pierre angulaire de nombreuses stratégies de défense. Il offre une visibilité complète sur les activités de l’infrastructure, permettant aux équipes de sécurité de voir ce qui se passe à chaque instant.
Installer Wazuh, c’est choisir la sérénité.
Allons-y!
Pour tester la solution ou pour un lab, je conseille la version all-in-one. Pour une utilisation professionnelle, en production, il est vivement conseillé d’installer Wazuh en mode cluster (voir site officiel https://documentation.wazuh.com/current/user-manual/configuring-cluster/basics.html).
Installation de Wazuh all-in-one sur un serveur Ubuntu 20.04 LTS
Configuration:
CPU: 4vCPU RAM:4 Go SSD: 128 Go
apt update && apt upgrade
systemctl status ufw
systemctl stop ufw
curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh
curl -sO https://packages.wazuh.com/4.4/config.yml
Rajoutez l’ip du serveur dans le fichier config.yml
nano config.yml
bash wazuh-install.sh --generate-config-files
curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh
bash wazuh-install.sh --wazuh-indexer node-1
bash wazuh-install.sh --start-cluster
curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh
bash wazuh-install.sh --wazuh-server wazuh-1
curl -sO https://packages.wazuh.com/4.4/wazuh-install.sh
bash wazuh-install.sh --wazuh-dashboard dashboard
Récupérez le mdp d’Admin dans la fenêtre CLI
Accédez au service : https://ip_du_serveur
Wazuh : Au-delà de l’Installation, la Personnalisation
Si Wazuh offre une base solide dès son installation, la véritable puissance de cet outil se révèle lorsqu’il est finement ajusté.
Des Règles de Détection Universelles…
Dès son installation, Wazuh est équipé d’un ensemble de règles de détection par défaut. Ces règles, bien que vastes, sont conçues pour être universellement applicables et pour couvrir un large éventail de menaces générales. Elles offrent une protection de base contre les intrusions, les malwares et autres cybermenaces courantes.
…Mais Une Nécessité de Personnalisation
Cependant, chaque organisation est unique. Elle possède sa propre architecture, ses propres applications et, surtout, ses propres risques et vulnérabilités. C’est là que la personnalisation entre en jeu.
Ajuster les Seuils: Les règles par défaut peuvent générer des alertes trop fréquentes ou, au contraire, pas assez. Il est donc crucial d’ajuster ces règles pour minimiser les faux positifs tout en garantissant que les véritables menaces ne passent pas inaperçues.
Intégrer les Applications Spécifiques: Chaque entreprise utilise des applications qui lui sont propres. Wazuh doit être paramétré pour surveiller ces applications spécifiques, afin d’assurer une protection complète.
Répondre aux Exigences Réglementaires: Selon le secteur d’activité, des normes réglementaires précises peuvent s’appliquer. La personnalisation de Wazuh permet de s’assurer que ces normes sont respectées, et que les rapports nécessaires sont générés.
Évolution et Adaptation: Les cybermenaces évoluent, tout comme les organisations. Wazuh doit donc être régulièrement revu et ajusté pour refléter ces changements.
Et pour finir, bien que l’installation de Wazuh marque une avancée non-négligeable dans la sécurisation d’une infrastructure, elle n’est que le début d’un voyage. La véritable valeur de Wazuh est exploitée lorsque l’outil est affiné, ajusté et personnalisé en fonction des besoins spécifiques de l’organisation. C’est cette approche proactive qui transforme Wazuh d’un simple gardien en un allié inestimable dans la lutte contre les cybermenaces.