SlideShare une entreprise Scribd logo
1  sur  65
Télécharger pour lire hors ligne
Déploiement d’un HIDS
WAZUH
Présenté le 19 Novembre 2022
Plan:
2
Introduction
Installation
Déploiement Wazuh agents
Configuration
1
Conclusion
2
3
4
6
Test de Fonctionneent
5
1. Introduction
4
HIDS – Host Based Intrusion Detection System
o Un Système de Détection d’Intrusion basé sur l’Hôte ( HIDS )
o Le HIDS collecte, analyse et pré-corrèle les journaux d’un client et alerte si
une attaque, une utilisation frauduleuse (politique) ou une erreur détectée.
o Il vérifie l’intégrité des fichiers du système local, la détection des rootkits,
identifie les actions cachées des attaquants; des chevaux de Troie, des
Malware, …ect.
o HIDS conduit à des alertes en temps réel et a une réponse active
o HIDS s’intègre facilement avec les SIEM
o Le déploiement centralise des stratégies est effectue pour tous les agents
HIDS afin de surveiller la conformité du serveur.
5
OSSEC
o OSSEC est HIDS open source.
o Il a pour objectif de détecter un comportement anormal sur une machine.
o Il collecte les informations qui lui sont envoyées par les équipements, il
utilise les signatures ou le comportement pour détecter une anomalie.
o Un agent OSSEC est installe sur chacune des machines.
6
OSSEC
7
WAZUH
o Wazuh est une plateforme open source gratuite pour la détection
d’intrusion, la supervision de sécurité, la réponse aux incidents et le
contrôle de conformité.
o Il intègre OSSEC
o Il peut être utilise pour surveiller les points de terminaison, les services
cloud et les conteneurs, et pour agréger et analyser les données provenant
de source externes
8
WAZUH
o La solution Wazuh se compose d'un agent de sécurité des terminaux,
déployé sur les systèmes surveillés, et d'un serveur de gestion, qui
collecte et analyse les données recueillies par les agents.
o En outre, Wazuh a été entièrement intégré à ElasticStack,
fournissant un moteur de recherche et un outil de visualisation de
données qui permet aux utilisateurs de naviguer dans leurs alertes
de sécurité.
9
Capacités WAZUH
Une brève présentation de certains des cas d'utilisation les plus
courants de la solution Wazuh.
10
Architecture WAZUH
o L'architecture Wazuh est basée sur des agents , exécutés sur les
terminaux surveillés, qui transmettent les données de sécurité à
un serveur central .
o Les périphériques sans agent tels que les pare-feu, les
commutateurs, les routeurs et les points d'accès sont pris en charge
et peuvent soumettre activement des données de journal via Syslog,
SSH ou à l'aide de leur API.
o Le serveur central décode et analyse les informations entrantes et
transmet les résultats à l'indexeur Wazuh pour l'indexation et le
stockage.
o Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs
nœuds qui communiquent entre eux pour effectuer des opérations de
11
Architecture WAZUH
12
Composants WAZUH
Le schéma ci-dessous représente les composants Wazuh et le flux de
données.
13
Indexeur WAZUH
o L'indexeur Wazuh est un moteur de recherche et d'analyse en texte
intégral hautement évolutif.
o L'indexeur Wazuh stocke les données sous forme de documents
JSON. Chaque document met en corrélation un ensemble de clés, de
noms de champs ou de propriétés, avec leurs valeurs
correspondantes
o Un index est une collection de documents liés les uns aux autres.
o Wazuh utilise quatre index différents pour stocker différents types
d'événements : wazuh - alertes, wazuh - archives,
wazuh - surveillance, wazuh - statistiques
14
Serveur WAZUH
o Le composant serveur Wazuh analyse les données reçues
des agents , déclenchant des alertes lorsque des menaces ou des
anomalies sont détectées.
o Il est également utilisé pour gérer la configuration des agents à
distance et surveiller leur état.
o Le serveur Wazuh utilise des sources de renseignements sur les
menaces pour améliorer ses capacités de détection.
o Il enrichit également les données d'alerte en utilisant le cadre MITRE
ATT&CK et les exigences de conformité réglementaire telles que PCI
DSS, GDPR, HIPAA, CIS et NIST 800-53 fournissant un contexte
utile pour l'analyse de la sécurité.
15
Serveur WAZUH
Le schéma ci-dessous représente l'architecture et les composants du
serveur :
16
WAZUH Dashboard
o Le tableau de bord Wazuh est une interface utilisateur Web flexible et
intuitive pour l'exploration, l'analyse et la visualisation des
événements de sécurité et des données d'alerte.
o Il est également utilisé pour la gestion et le suivi de la plateforme
Wazuh.
o En outre, il fournit des fonctionnalités de contrôle d'accès basé sur
les rôles (RBAC), d'authentification unique (SSO) , Visualisation et
analyse des données, Surveillance et configuration des agents,
Gestion de la plateforme, Outils de développement
17
Agent WAZUH
o L'agent Wazuh est multiplateforme et s'exécute sur les hôtes que
l'utilisateur souhaite surveiller.
o Il est également utilisé pour la gestion et le suivi de la plateforme
Wazuh.
o L'agent Wazuh fournit des fonctionnalités clés pour améliorer la
sécurité de votre système.
18
Agent WAZUH
Le schéma ci-dessous représente l'architecture et les composants de
l'agent :
2. Installation
Installation Alternatives
Toutes les alternatives incluent des instructions sur la façon d'installer les composants
centraux de Wazuh . Une fois ceux-ci installés, vous devez ensuite déployer des agents
sur vos terminaux.
o Machines prêtes à l'emploi : Machine virtuelle (OVA) , Amazon Machine
Images (AMI)
o Conteneurs : Déploiement sur Docker , Déploiement sur Kubernetes
o Hors ligne
o Des sources : Installer le serveur Wazuh depuis les sources
o Options commerciales : Installation avec la licence de base Elastic
Stack, Installation avec Splunk
Machine virtuelle (OVA)
21
o Wazuh fournit une image de machine virtuelle pré-construite au
format Open Virtual Appliance (OVA). Cela peut être directement
importé dans VirtualBox ou d'autres systèmes de virtualisation
compatibles OVA.
o Téléchargez l' appliance virtuelle (OVA) , qui contient les composants
suivants :
o Cent OS 7
o Gestionnaire Wazuh 4.3.9
o Indexeur Wazuh 4.3.9
o Filebeat-OSS 7.10.2
o Tableau de bord Wazuh 4.3.9
Machine virtuelle (OVA)
22
o Exigences matérielles
Les exigences suivantes doivent être en place avant que la machine
virtuelle Wazuh puisse être importée dans un système d'exploitation
hôte :
oLe système d'exploitation hôte doit être un système 64 bits.
oLa virtualisation matérielle doit être activée sur le firmware de l'hôte.
oUne plate-forme de virtualisation, telle que VirtualBox, doit être installée sur
le système hôte.
Machine virtuelle (OVA)
23
o Par défaut, la VM Wazuh est configurée avec les spécifications
suivantes :
NB: cette configuration matérielle peut être modifiée en fonction du
nombre de terminaux protégés et des données d'alerte indexées.
Machine virtuelle (OVA)
24
o Importer et accéder à la machine virtuelle
Tout d'abord, importez l'OVA sur la plate-forme de virtualisation et
démarrez la machine.
Utilisez l'utilisateur et le mot de passe suivants pour accéder à la machine
virtuelle. Vous pouvez utiliser la plateforme de virtualisation ou y accéder
via SSH.
o user: wazuh-user
o password: wazuh
NB: Le mot de passe de l’utilisateur root est wazuh
Machine virtuelle (OVA)
25
o Accéder au tableau de bord Wazuh
Peu de temps après le démarrage de la VM, le tableau de bord Wazuh
est accessible depuis l'interface Web en utilisant les informations
d'identification suivantes :
o URL: https://<wazuh_server_ip>
o user: admin
o password: admin
NB: vous pouvez changer le mot de passe.
Machine virtuelle (OVA)
26
o Fichiers de configuration
Tous les composants inclus dans cette image virtuelle sont configurés
pour fonctionner immédiatement, sans qu'il soit nécessaire de modifier les
paramètres. Cependant, tous les composants peuvent être entièrement
personnalisés. Voici les emplacements des fichiers de configuration :
o Responsbale Wazuh: /var/ossec/etc/ossec.conf
o Indexeur Wazuh: /etc/wazuh-indexer/opensearch.yml
o Filebeat-OSS: /etc/filebeat/filebeat.yml
o Tableau de bord Wazuh:
o /etc/wazuh-dashboard/opensearch_dashbords.yml
o/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml
3. Déploiement des
agents Wazuh
Déployer des agents Wazuh sur des
systèmes Linux (Debian)
28
o Ajouter le référentiel Wazuh
Ajoutez le référentiel Wazuh pour télécharger les packages officiels.
1. Installez la clé GPG : ~# curl -s https://packages.wazuh.com/key/GPG-
KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-
ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644
/usr/share/keyrings/wazuh.gpg
2. Ajoutez le dépôt : ~# echo "deb [signed-
by=/usr/share/keyrings/wazuh.gpg]
https://packages.wazuh.com/4.x/apt/ stable main" | tee -a
/etc/apt/sources.list.d/wazuh.list
3. Mettez à jour les informations sur le package : ~# apt-get update
Déployer des agents Wazuh sur des
systèmes Linux (Debian)
29
o Déployer un agent Wazuh
1. Pour déployer l'agent Wazuh sur votre système, sélectionnez votre
gestionnaire de packages et modifiez la WAZUH_MANAGER variable pour
qu'elle contienne l'adresse IP ou le nom d'hôte de votre gestionnaire Wazuh :
~# WAZUH_MANAGER="<wazuh-manager adrress>" apt-get install
wazuh-agent
2. Activez et démarrez le service d'agent Wazuh :
~# systemctl daemon-reload
~# systemctl enable wazuh-agent
~# systemctl start wazuh-agent
Déployer des agents Wazuh sur des
systèmes Linux (Debian)
30
o Désinstaller un agent Wazuh
Pour désinstaller l'agent, exécutez les commandes suivantes :
1. Supprimez l'installation de l'agent Wazuh:
~# apt-get remove wazuh-agent
~# apt-get remove --purge wazuh-agent
2. Désactivez le service d'agent Wazuh.
~# systemctl disable wazuh-agent
~# systemctl daemon-reload
Installation des agents Wazuh sur les
systèmes Windows
31
L'agent s'exécute sur l'hôte que vous souhaitez surveiller et communique avec
le gestionnaire Wazuh, en envoyant des données en temps quasi réel via un
canal crypté et authentifié.
o Pour démarrer le processus d'installation, téléchargez le programme
d' installation de Windows .
o Sélectionnez la méthode d'installation que vous souhaitez suivre : interface
de ligne de commande (CLI) ou interface utilisateur graphique (GUI).
Installation des agents Wazuh sur les
systèmes Windows
32
1. CLI:
Pour déployer l'agent Wazuh sur votre système, choisissez l'une des
alternatives du shell de commande et modifiez la WAZUH_MANAGER
variable afin qu'elle contienne l'adresse IP ou le nom d'hôte du gestionnaire
Wazuh.
• Utilisation de CMD :
wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager
adrress>“
• Utilisation de PowerShell :
.wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager
adrress>"
Installation des agents Wazuh sur les
systèmes Windows
33
1. Interface graphique:
Pour installer l'agent Wazuh sur votre système, exécutez le programme
d'installation de Windows et suivez les étapes de l'assistant d'installation.
Désinstaller un agent Wazuh
34
Pour désinstaller l'agent, le fichier d'installation Windows d'origine est requis
pour effectuer le processus sans surveillance :
msiexec.exe /x wazuh-agent-4.3.9-1.msi /qn
Installation des agents Wazuh
35
Vous pouvez également déployer un nouvel agent en suivant les instructions du
tableau de bord Wazuh. Allez dans Wazuh > Agents, et cliquez sur Déployer
un nouvel agent.
Ensuite, le tableau de bord Wazuh vous montrera les étapes pour
déployer un nouvel agent.
4.Configuration
Changer la distribution ouverte pour
Elasticsearchle mot de passes
37
Télécharger script pour simplifier le processus de changement du mot de
passes:
~# curl -so wazuh-opendistro-passwords-tool
https://packages.wazuh.com/4.3/wazuh-opendistro-passwords-tool.sh
• Changer lale mot de passepour utilisateur unique
Pour changer le mot de passe pour un seul utilisateur, exécutez le script avec l’ -u
option. Vous pouvez indiquer le nouveau mot de passe avec options -p . Si aucun mot
de passe n'est spécifié, le script en générera un aléatoire.
~# bash wazuh-opendistro-passwords-tool -u admin -p mypassword
~# systemctl restart wazuh-manager
Exécution d'une analyse de vulnérabilité
38
L'exemple suivant montre comment configurer les
composants nécessaires pour exécuter le processus de
détection de vulnérabilité.
1. Activez le module d'agent utilisé pour collecter les
packages installés sur le système surveillé. Cela peut
être fait en ajoutant le bloc de paramètres suivant à
votre fichier de configuration d'agent partagé :
NB: Si vous souhaitez scanner les vulnérabilités des
agents Windows, vous devrez également ajouter le :
<hotfixes>yes</hotfixes>
Exécution d'une analyse de vulnérabilité
39
1. Activer le module gestionnaire utilisé pour
détecter les vulnérabilités. Vous pouvez le
faire en ajoutant un bloc comme celui-ci au
fichier de configuration de votre gestionnaire :
NB: N'oubliez pas de redémarrer le gestionnaire
pour appliquer les modifications :
~# systemctl restart wazuh-manager
Détecter les modifications du système de
fichiers
40
Le système Wazuh syscheck est responsable de la surveillance de l'intégrité des
fichiers (FIM) et de la surveillance des modifications du registre.
1. Préparation
Pour activer l'agent Wazuh et la journalisation de débogage syscheck sur le
fichier windows-agent . Démarrez le Bloc -notes avec l' option Exécuter en tant
qu'administrateur et saisissez le texte suivant :
windows.debug=2
rootcheck.sleep=0
syscheck.sleep=0
Détecter les modifications du système de
fichiers
41
2. Configuration du FIM
Exécutez le Wazuh Agent Manager ( ) et cliquez sur View > View Config et remplacez la
grande section <syscheck> par défaut par la configuration suivante :
<syscheck>
<disabled>no</disabled>
<scan_on_start>yes</scan_on_start>
<frequency>300</frequency>
<directories check_all="yes" realtime="yes" report_changes="yes">C:/MonDossier1</directories>
<directories check_all="yes">C:/ MonDossier2</directories>
</syscheck>
Fermez et enregistrez votre fichier de configuration modifié. Redémarrez ensuite l'agent
Wazuh ( Gérer > Redémarrer ).
Intégration de VirusTotal
42
Wazuh peut analyser les fichiers surveillés à la recherche de contenu malveillant
dans les fichiers surveillés. Cette solution est possible grâce à une intégration avec
VirusTotal, qui est une plate-forme puissante qui regroupe plusieurs produits
antivirus avec un moteur d'analyse en ligne.
La combinaison de cet outil avec notre moteur FIM fournit un moyen simple
d'analyser les fichiers qui sont surveillés pour les inspecter à la recherche de
contenu malveillant.
Intégration de VirusTotal
43
o À propos de Virus Total
• VirusTotal est un service en ligne qui analyse les fichiers et les URL pour détecter les
virus, vers, chevaux de Troie et autres types de contenus malveillants à l'aide de
moteurs antivirus et d'analyseurs de sites Web. Il a également la capacité de détecter les
faux positifs.
• VirusTotal est un service gratuit avec de nombreuses fonctionnalités utiles. Pour notre
propos, nous soulignerons les points suivants :
• VirusTotal stocke toutes les analyses qu'il effectue, permettant de rechercher le
hachage d'un fichier spécifique.
• VirusTotal fournit également une API qui permet d'accéder aux informations
générées par VirusTotal sans avoir besoin d'utiliser l'interface HTML du site Web.
Intégration de VirusTotal
44
o Cas d'utilisation : analyse d'un fichier
Suivez les instructions de l' intégration avec des API externes pour activer le
démon Integrator et configurer l'intégration de VirusTotal.
Voici un exemple de configuration à ajouter sur le ossec.conf fichier :
Intégration de VirusTotal
45
o Utilisation de FIM pour surveiller un répertoire
Pour ce cas d'utilisation, nous montrerons comment surveiller le dossier /media/user/software
avec un agent.
1. Les éléments suivants doivent être ajoutés à <syscheck> la section du fichier de configurati
2. Après avoir appliqué la configuration, vous devez redémarrer le gestionnaire Wazuh :
~# systemctl restart wazuh-manager
Détéction des tentatives de connexion
refusées avec des comptes non existants
46
o Attaque
o Alert Wazuh (Agent Debian)
Détéction des tentatives de connexion
refusées avec des comptes existants
47
o Attaque
Détéction des tentatives de connexion
refusées avec des comptes existants
48
o Alert Wazuh (Agent Debian)
Détéction des tentatives de connexion
refusées avec des comptes existants
49
o Alert Wazuh (Agent Debian)
Détéction d’une attaque force brute sur ssh
50
o Attaque
Détéction d’une attaque force brute sur ssh
51
o Alert Wazuh (Agent Debian)
Détéction d’une attaque force brute sur ssh
52
o Alert Wazuh (Agent Debian)
5.Test de Fonctionneent
Captures d’écran
54
o Présentation des modules
Captures d’écran
55
o Présentation des agent
Captures d’écran
56
o Conformité réglementaire
Captures d’écran
57
o Détection de vulnérabilité
Captures d’écran
58
o Événements de sécurité
Captures d’écran
59
o Résumé des agents
Captures d’écran
60
o Surveillance de l’intégrité des fichiers
Captures d’écran
61
o Surveillance de l’intégrité des fichiers
Démonstration
62
6.Conclusion
Conclusion
64
● Avec le technologies Wazuh l'utilisation des techniques de détection
d'intrusion basées sur les signatures et les anomalies permettent de
simplifier la détection des menaces et de rendre leur analyse plus
efficace.
● D'autre part, l'intégration d'un IDS hôte (pour monitorer les systèmes au
niveau de l'hôte) et d'un IDS réseau (pour inspecter le trafic réseau)
permet aussi d'améliorer la détection des menaces et la visibilité en
matière de sécurité. Wazuh simplifie tout cela, car il permet d'intégrer
les systèmes IDS hôte et réseau à la Suite Elastic, et est en mesure de
fournir des mécanismes pour déclencher des réponses automatiques et
bloquer des attaques en temps réel.
65
Merci pour votre attention!

Contenu connexe

Tendances

Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbixmoussa sambe
 
Openstack pour les nuls
Openstack pour les nulsOpenstack pour les nuls
Openstack pour les nulsChris Cowley
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec ZabbixFourat Zouari
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauRabeb Boumaiza
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
L'automatisation dans les reseaux d'entrerprise
L'automatisation dans les reseaux d'entrerpriseL'automatisation dans les reseaux d'entrerprise
L'automatisation dans les reseaux d'entrerpriseCisco Canada
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosAziz Rgd
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Optimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision ZabbixOptimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision ZabbixAlain Ganuchaud
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiqueManuel Cédric EBODE MBALLA
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Alain Ganuchaud
 

Tendances (20)

elk
elkelk
elk
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
 
Openstack pour les nuls
Openstack pour les nulsOpenstack pour les nuls
Openstack pour les nuls
 
Zabbix
ZabbixZabbix
Zabbix
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec Zabbix
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
L'automatisation dans les reseaux d'entrerprise
L'automatisation dans les reseaux d'entrerpriseL'automatisation dans les reseaux d'entrerprise
L'automatisation dans les reseaux d'entrerprise
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Optimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision ZabbixOptimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision Zabbix
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatique
 
Serveur Zabbix
Serveur ZabbixServeur Zabbix
Serveur Zabbix
 
Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013Presentation Zabbix en Français du 6 Juin 2013
Presentation Zabbix en Français du 6 Juin 2013
 

Similaire à Wazuh Pre.pptx

Mdl ocsinventory 20100330
Mdl ocsinventory 20100330Mdl ocsinventory 20100330
Mdl ocsinventory 20100330robertpluss
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2tikok974
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2tikok974
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snortFathi Ben Nasr
 
Administration intégrée HP/Microsoft des serveurs HP ProLiant
Administration intégrée HP/Microsoft des serveurs HP ProLiantAdministration intégrée HP/Microsoft des serveurs HP ProLiant
Administration intégrée HP/Microsoft des serveurs HP ProLiantMicrosoft Technet France
 
Atelier hadoop-single-sign-on
Atelier hadoop-single-sign-onAtelier hadoop-single-sign-on
Atelier hadoop-single-sign-onsahar dridi
 
1536524 1536524 1536524 1536524 1536524.ppt
1536524  1536524 1536524  1536524 1536524.ppt1536524  1536524 1536524  1536524 1536524.ppt
1536524 1536524 1536524 1536524 1536524.pptAbdellahELMAMOUN
 
Administrateur Système AIX confirmé h/f - Toulouse
Administrateur Système AIX confirmé h/f - ToulouseAdministrateur Système AIX confirmé h/f - Toulouse
Administrateur Système AIX confirmé h/f - ToulouseVéronique DJOHARIKIAN
 
Configuration des services web sous centOS 5
Configuration des services web sous centOS 5Configuration des services web sous centOS 5
Configuration des services web sous centOS 5Sarah
 
HEAT Software EMSS 8.4
HEAT Software EMSS 8.4HEAT Software EMSS 8.4
HEAT Software EMSS 8.4Bastien Bobe
 
Deploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareDeploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareMame Cheikh Ibra Niang
 
Neuvector Rodeo 17 mars 20234
Neuvector Rodeo 17 mars 20234Neuvector Rodeo 17 mars 20234
Neuvector Rodeo 17 mars 20234SUSE
 
Mise en place d'une infrastructure VDI de A à Z
Mise en place d'une infrastructure VDI de A à ZMise en place d'une infrastructure VDI de A à Z
Mise en place d'une infrastructure VDI de A à ZGauthier Hubert
 

Similaire à Wazuh Pre.pptx (20)

Mdl ocsinventory 20100330
Mdl ocsinventory 20100330Mdl ocsinventory 20100330
Mdl ocsinventory 20100330
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2
 
Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2Mdl ocsinventory 20100330-2
Mdl ocsinventory 20100330-2
 
ExtraflowOutils.pdf
ExtraflowOutils.pdfExtraflowOutils.pdf
ExtraflowOutils.pdf
 
APACHE HTTP
APACHE HTTPAPACHE HTTP
APACHE HTTP
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
Administration intégrée HP/Microsoft des serveurs HP ProLiant
Administration intégrée HP/Microsoft des serveurs HP ProLiantAdministration intégrée HP/Microsoft des serveurs HP ProLiant
Administration intégrée HP/Microsoft des serveurs HP ProLiant
 
Atelier hadoop-single-sign-on
Atelier hadoop-single-sign-onAtelier hadoop-single-sign-on
Atelier hadoop-single-sign-on
 
20100114 Waf V0.7
20100114 Waf V0.720100114 Waf V0.7
20100114 Waf V0.7
 
1536524 1536524 1536524 1536524 1536524.ppt
1536524  1536524 1536524  1536524 1536524.ppt1536524  1536524 1536524  1536524 1536524.ppt
1536524 1536524 1536524 1536524 1536524.ppt
 
Administrateur Système AIX confirmé h/f - Toulouse
Administrateur Système AIX confirmé h/f - ToulouseAdministrateur Système AIX confirmé h/f - Toulouse
Administrateur Système AIX confirmé h/f - Toulouse
 
Eucalyptus
EucalyptusEucalyptus
Eucalyptus
 
Configuration des services web sous centOS 5
Configuration des services web sous centOS 5Configuration des services web sous centOS 5
Configuration des services web sous centOS 5
 
OpenERP/Odoo: Fiche Technique
OpenERP/Odoo: Fiche TechniqueOpenERP/Odoo: Fiche Technique
OpenERP/Odoo: Fiche Technique
 
HEAT Software EMSS 8.4
HEAT Software EMSS 8.4HEAT Software EMSS 8.4
HEAT Software EMSS 8.4
 
Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009Fully Automated Nagios Jm2L 2009
Fully Automated Nagios Jm2L 2009
 
Deploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmwareDeploiement de la virtualisation des postes de travail sous vmware
Deploiement de la virtualisation des postes de travail sous vmware
 
Neuvector Rodeo 17 mars 20234
Neuvector Rodeo 17 mars 20234Neuvector Rodeo 17 mars 20234
Neuvector Rodeo 17 mars 20234
 
Mise en place d'une infrastructure VDI de A à Z
Mise en place d'une infrastructure VDI de A à ZMise en place d'une infrastructure VDI de A à Z
Mise en place d'une infrastructure VDI de A à Z
 
SDN OpenDaylight
SDN OpenDaylightSDN OpenDaylight
SDN OpenDaylight
 

Wazuh Pre.pptx

  • 4. 4 HIDS – Host Based Intrusion Detection System o Un Système de Détection d’Intrusion basé sur l’Hôte ( HIDS ) o Le HIDS collecte, analyse et pré-corrèle les journaux d’un client et alerte si une attaque, une utilisation frauduleuse (politique) ou une erreur détectée. o Il vérifie l’intégrité des fichiers du système local, la détection des rootkits, identifie les actions cachées des attaquants; des chevaux de Troie, des Malware, …ect. o HIDS conduit à des alertes en temps réel et a une réponse active o HIDS s’intègre facilement avec les SIEM o Le déploiement centralise des stratégies est effectue pour tous les agents HIDS afin de surveiller la conformité du serveur.
  • 5. 5 OSSEC o OSSEC est HIDS open source. o Il a pour objectif de détecter un comportement anormal sur une machine. o Il collecte les informations qui lui sont envoyées par les équipements, il utilise les signatures ou le comportement pour détecter une anomalie. o Un agent OSSEC est installe sur chacune des machines.
  • 7. 7 WAZUH o Wazuh est une plateforme open source gratuite pour la détection d’intrusion, la supervision de sécurité, la réponse aux incidents et le contrôle de conformité. o Il intègre OSSEC o Il peut être utilise pour surveiller les points de terminaison, les services cloud et les conteneurs, et pour agréger et analyser les données provenant de source externes
  • 8. 8 WAZUH o La solution Wazuh se compose d'un agent de sécurité des terminaux, déployé sur les systèmes surveillés, et d'un serveur de gestion, qui collecte et analyse les données recueillies par les agents. o En outre, Wazuh a été entièrement intégré à ElasticStack, fournissant un moteur de recherche et un outil de visualisation de données qui permet aux utilisateurs de naviguer dans leurs alertes de sécurité.
  • 9. 9 Capacités WAZUH Une brève présentation de certains des cas d'utilisation les plus courants de la solution Wazuh.
  • 10. 10 Architecture WAZUH o L'architecture Wazuh est basée sur des agents , exécutés sur les terminaux surveillés, qui transmettent les données de sécurité à un serveur central . o Les périphériques sans agent tels que les pare-feu, les commutateurs, les routeurs et les points d'accès sont pris en charge et peuvent soumettre activement des données de journal via Syslog, SSH ou à l'aide de leur API. o Le serveur central décode et analyse les informations entrantes et transmet les résultats à l'indexeur Wazuh pour l'indexation et le stockage. o Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs nœuds qui communiquent entre eux pour effectuer des opérations de
  • 12. 12 Composants WAZUH Le schéma ci-dessous représente les composants Wazuh et le flux de données.
  • 13. 13 Indexeur WAZUH o L'indexeur Wazuh est un moteur de recherche et d'analyse en texte intégral hautement évolutif. o L'indexeur Wazuh stocke les données sous forme de documents JSON. Chaque document met en corrélation un ensemble de clés, de noms de champs ou de propriétés, avec leurs valeurs correspondantes o Un index est une collection de documents liés les uns aux autres. o Wazuh utilise quatre index différents pour stocker différents types d'événements : wazuh - alertes, wazuh - archives, wazuh - surveillance, wazuh - statistiques
  • 14. 14 Serveur WAZUH o Le composant serveur Wazuh analyse les données reçues des agents , déclenchant des alertes lorsque des menaces ou des anomalies sont détectées. o Il est également utilisé pour gérer la configuration des agents à distance et surveiller leur état. o Le serveur Wazuh utilise des sources de renseignements sur les menaces pour améliorer ses capacités de détection. o Il enrichit également les données d'alerte en utilisant le cadre MITRE ATT&CK et les exigences de conformité réglementaire telles que PCI DSS, GDPR, HIPAA, CIS et NIST 800-53 fournissant un contexte utile pour l'analyse de la sécurité.
  • 15. 15 Serveur WAZUH Le schéma ci-dessous représente l'architecture et les composants du serveur :
  • 16. 16 WAZUH Dashboard o Le tableau de bord Wazuh est une interface utilisateur Web flexible et intuitive pour l'exploration, l'analyse et la visualisation des événements de sécurité et des données d'alerte. o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh. o En outre, il fournit des fonctionnalités de contrôle d'accès basé sur les rôles (RBAC), d'authentification unique (SSO) , Visualisation et analyse des données, Surveillance et configuration des agents, Gestion de la plateforme, Outils de développement
  • 17. 17 Agent WAZUH o L'agent Wazuh est multiplateforme et s'exécute sur les hôtes que l'utilisateur souhaite surveiller. o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh. o L'agent Wazuh fournit des fonctionnalités clés pour améliorer la sécurité de votre système.
  • 18. 18 Agent WAZUH Le schéma ci-dessous représente l'architecture et les composants de l'agent :
  • 20. Installation Alternatives Toutes les alternatives incluent des instructions sur la façon d'installer les composants centraux de Wazuh . Une fois ceux-ci installés, vous devez ensuite déployer des agents sur vos terminaux. o Machines prêtes à l'emploi : Machine virtuelle (OVA) , Amazon Machine Images (AMI) o Conteneurs : Déploiement sur Docker , Déploiement sur Kubernetes o Hors ligne o Des sources : Installer le serveur Wazuh depuis les sources o Options commerciales : Installation avec la licence de base Elastic Stack, Installation avec Splunk
  • 21. Machine virtuelle (OVA) 21 o Wazuh fournit une image de machine virtuelle pré-construite au format Open Virtual Appliance (OVA). Cela peut être directement importé dans VirtualBox ou d'autres systèmes de virtualisation compatibles OVA. o Téléchargez l' appliance virtuelle (OVA) , qui contient les composants suivants : o Cent OS 7 o Gestionnaire Wazuh 4.3.9 o Indexeur Wazuh 4.3.9 o Filebeat-OSS 7.10.2 o Tableau de bord Wazuh 4.3.9
  • 22. Machine virtuelle (OVA) 22 o Exigences matérielles Les exigences suivantes doivent être en place avant que la machine virtuelle Wazuh puisse être importée dans un système d'exploitation hôte : oLe système d'exploitation hôte doit être un système 64 bits. oLa virtualisation matérielle doit être activée sur le firmware de l'hôte. oUne plate-forme de virtualisation, telle que VirtualBox, doit être installée sur le système hôte.
  • 23. Machine virtuelle (OVA) 23 o Par défaut, la VM Wazuh est configurée avec les spécifications suivantes : NB: cette configuration matérielle peut être modifiée en fonction du nombre de terminaux protégés et des données d'alerte indexées.
  • 24. Machine virtuelle (OVA) 24 o Importer et accéder à la machine virtuelle Tout d'abord, importez l'OVA sur la plate-forme de virtualisation et démarrez la machine. Utilisez l'utilisateur et le mot de passe suivants pour accéder à la machine virtuelle. Vous pouvez utiliser la plateforme de virtualisation ou y accéder via SSH. o user: wazuh-user o password: wazuh NB: Le mot de passe de l’utilisateur root est wazuh
  • 25. Machine virtuelle (OVA) 25 o Accéder au tableau de bord Wazuh Peu de temps après le démarrage de la VM, le tableau de bord Wazuh est accessible depuis l'interface Web en utilisant les informations d'identification suivantes : o URL: https://<wazuh_server_ip> o user: admin o password: admin NB: vous pouvez changer le mot de passe.
  • 26. Machine virtuelle (OVA) 26 o Fichiers de configuration Tous les composants inclus dans cette image virtuelle sont configurés pour fonctionner immédiatement, sans qu'il soit nécessaire de modifier les paramètres. Cependant, tous les composants peuvent être entièrement personnalisés. Voici les emplacements des fichiers de configuration : o Responsbale Wazuh: /var/ossec/etc/ossec.conf o Indexeur Wazuh: /etc/wazuh-indexer/opensearch.yml o Filebeat-OSS: /etc/filebeat/filebeat.yml o Tableau de bord Wazuh: o /etc/wazuh-dashboard/opensearch_dashbords.yml o/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml
  • 28. Déployer des agents Wazuh sur des systèmes Linux (Debian) 28 o Ajouter le référentiel Wazuh Ajoutez le référentiel Wazuh pour télécharger les packages officiels. 1. Installez la clé GPG : ~# curl -s https://packages.wazuh.com/key/GPG- KEY-WAZUH | gpg --no-default-keyring --keyring gnupg- ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg 2. Ajoutez le dépôt : ~# echo "deb [signed- by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list 3. Mettez à jour les informations sur le package : ~# apt-get update
  • 29. Déployer des agents Wazuh sur des systèmes Linux (Debian) 29 o Déployer un agent Wazuh 1. Pour déployer l'agent Wazuh sur votre système, sélectionnez votre gestionnaire de packages et modifiez la WAZUH_MANAGER variable pour qu'elle contienne l'adresse IP ou le nom d'hôte de votre gestionnaire Wazuh : ~# WAZUH_MANAGER="<wazuh-manager adrress>" apt-get install wazuh-agent 2. Activez et démarrez le service d'agent Wazuh : ~# systemctl daemon-reload ~# systemctl enable wazuh-agent ~# systemctl start wazuh-agent
  • 30. Déployer des agents Wazuh sur des systèmes Linux (Debian) 30 o Désinstaller un agent Wazuh Pour désinstaller l'agent, exécutez les commandes suivantes : 1. Supprimez l'installation de l'agent Wazuh: ~# apt-get remove wazuh-agent ~# apt-get remove --purge wazuh-agent 2. Désactivez le service d'agent Wazuh. ~# systemctl disable wazuh-agent ~# systemctl daemon-reload
  • 31. Installation des agents Wazuh sur les systèmes Windows 31 L'agent s'exécute sur l'hôte que vous souhaitez surveiller et communique avec le gestionnaire Wazuh, en envoyant des données en temps quasi réel via un canal crypté et authentifié. o Pour démarrer le processus d'installation, téléchargez le programme d' installation de Windows . o Sélectionnez la méthode d'installation que vous souhaitez suivre : interface de ligne de commande (CLI) ou interface utilisateur graphique (GUI).
  • 32. Installation des agents Wazuh sur les systèmes Windows 32 1. CLI: Pour déployer l'agent Wazuh sur votre système, choisissez l'une des alternatives du shell de commande et modifiez la WAZUH_MANAGER variable afin qu'elle contienne l'adresse IP ou le nom d'hôte du gestionnaire Wazuh. • Utilisation de CMD : wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager adrress>“ • Utilisation de PowerShell : .wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager adrress>"
  • 33. Installation des agents Wazuh sur les systèmes Windows 33 1. Interface graphique: Pour installer l'agent Wazuh sur votre système, exécutez le programme d'installation de Windows et suivez les étapes de l'assistant d'installation.
  • 34. Désinstaller un agent Wazuh 34 Pour désinstaller l'agent, le fichier d'installation Windows d'origine est requis pour effectuer le processus sans surveillance : msiexec.exe /x wazuh-agent-4.3.9-1.msi /qn
  • 35. Installation des agents Wazuh 35 Vous pouvez également déployer un nouvel agent en suivant les instructions du tableau de bord Wazuh. Allez dans Wazuh > Agents, et cliquez sur Déployer un nouvel agent. Ensuite, le tableau de bord Wazuh vous montrera les étapes pour déployer un nouvel agent.
  • 37. Changer la distribution ouverte pour Elasticsearchle mot de passes 37 Télécharger script pour simplifier le processus de changement du mot de passes: ~# curl -so wazuh-opendistro-passwords-tool https://packages.wazuh.com/4.3/wazuh-opendistro-passwords-tool.sh • Changer lale mot de passepour utilisateur unique Pour changer le mot de passe pour un seul utilisateur, exécutez le script avec l’ -u option. Vous pouvez indiquer le nouveau mot de passe avec options -p . Si aucun mot de passe n'est spécifié, le script en générera un aléatoire. ~# bash wazuh-opendistro-passwords-tool -u admin -p mypassword ~# systemctl restart wazuh-manager
  • 38. Exécution d'une analyse de vulnérabilité 38 L'exemple suivant montre comment configurer les composants nécessaires pour exécuter le processus de détection de vulnérabilité. 1. Activez le module d'agent utilisé pour collecter les packages installés sur le système surveillé. Cela peut être fait en ajoutant le bloc de paramètres suivant à votre fichier de configuration d'agent partagé : NB: Si vous souhaitez scanner les vulnérabilités des agents Windows, vous devrez également ajouter le : <hotfixes>yes</hotfixes>
  • 39. Exécution d'une analyse de vulnérabilité 39 1. Activer le module gestionnaire utilisé pour détecter les vulnérabilités. Vous pouvez le faire en ajoutant un bloc comme celui-ci au fichier de configuration de votre gestionnaire : NB: N'oubliez pas de redémarrer le gestionnaire pour appliquer les modifications : ~# systemctl restart wazuh-manager
  • 40. Détecter les modifications du système de fichiers 40 Le système Wazuh syscheck est responsable de la surveillance de l'intégrité des fichiers (FIM) et de la surveillance des modifications du registre. 1. Préparation Pour activer l'agent Wazuh et la journalisation de débogage syscheck sur le fichier windows-agent . Démarrez le Bloc -notes avec l' option Exécuter en tant qu'administrateur et saisissez le texte suivant : windows.debug=2 rootcheck.sleep=0 syscheck.sleep=0
  • 41. Détecter les modifications du système de fichiers 41 2. Configuration du FIM Exécutez le Wazuh Agent Manager ( ) et cliquez sur View > View Config et remplacez la grande section <syscheck> par défaut par la configuration suivante : <syscheck> <disabled>no</disabled> <scan_on_start>yes</scan_on_start> <frequency>300</frequency> <directories check_all="yes" realtime="yes" report_changes="yes">C:/MonDossier1</directories> <directories check_all="yes">C:/ MonDossier2</directories> </syscheck> Fermez et enregistrez votre fichier de configuration modifié. Redémarrez ensuite l'agent Wazuh ( Gérer > Redémarrer ).
  • 42. Intégration de VirusTotal 42 Wazuh peut analyser les fichiers surveillés à la recherche de contenu malveillant dans les fichiers surveillés. Cette solution est possible grâce à une intégration avec VirusTotal, qui est une plate-forme puissante qui regroupe plusieurs produits antivirus avec un moteur d'analyse en ligne. La combinaison de cet outil avec notre moteur FIM fournit un moyen simple d'analyser les fichiers qui sont surveillés pour les inspecter à la recherche de contenu malveillant.
  • 43. Intégration de VirusTotal 43 o À propos de Virus Total • VirusTotal est un service en ligne qui analyse les fichiers et les URL pour détecter les virus, vers, chevaux de Troie et autres types de contenus malveillants à l'aide de moteurs antivirus et d'analyseurs de sites Web. Il a également la capacité de détecter les faux positifs. • VirusTotal est un service gratuit avec de nombreuses fonctionnalités utiles. Pour notre propos, nous soulignerons les points suivants : • VirusTotal stocke toutes les analyses qu'il effectue, permettant de rechercher le hachage d'un fichier spécifique. • VirusTotal fournit également une API qui permet d'accéder aux informations générées par VirusTotal sans avoir besoin d'utiliser l'interface HTML du site Web.
  • 44. Intégration de VirusTotal 44 o Cas d'utilisation : analyse d'un fichier Suivez les instructions de l' intégration avec des API externes pour activer le démon Integrator et configurer l'intégration de VirusTotal. Voici un exemple de configuration à ajouter sur le ossec.conf fichier :
  • 45. Intégration de VirusTotal 45 o Utilisation de FIM pour surveiller un répertoire Pour ce cas d'utilisation, nous montrerons comment surveiller le dossier /media/user/software avec un agent. 1. Les éléments suivants doivent être ajoutés à <syscheck> la section du fichier de configurati 2. Après avoir appliqué la configuration, vous devez redémarrer le gestionnaire Wazuh : ~# systemctl restart wazuh-manager
  • 46. Détéction des tentatives de connexion refusées avec des comptes non existants 46 o Attaque o Alert Wazuh (Agent Debian)
  • 47. Détéction des tentatives de connexion refusées avec des comptes existants 47 o Attaque
  • 48. Détéction des tentatives de connexion refusées avec des comptes existants 48 o Alert Wazuh (Agent Debian)
  • 49. Détéction des tentatives de connexion refusées avec des comptes existants 49 o Alert Wazuh (Agent Debian)
  • 50. Détéction d’une attaque force brute sur ssh 50 o Attaque
  • 51. Détéction d’une attaque force brute sur ssh 51 o Alert Wazuh (Agent Debian)
  • 52. Détéction d’une attaque force brute sur ssh 52 o Alert Wazuh (Agent Debian)
  • 60. Captures d’écran 60 o Surveillance de l’intégrité des fichiers
  • 61. Captures d’écran 61 o Surveillance de l’intégrité des fichiers
  • 64. Conclusion 64 ● Avec le technologies Wazuh l'utilisation des techniques de détection d'intrusion basées sur les signatures et les anomalies permettent de simplifier la détection des menaces et de rendre leur analyse plus efficace. ● D'autre part, l'intégration d'un IDS hôte (pour monitorer les systèmes au niveau de l'hôte) et d'un IDS réseau (pour inspecter le trafic réseau) permet aussi d'améliorer la détection des menaces et la visibilité en matière de sécurité. Wazuh simplifie tout cela, car il permet d'intégrer les systèmes IDS hôte et réseau à la Suite Elastic, et est en mesure de fournir des mécanismes pour déclencher des réponses automatiques et bloquer des attaques en temps réel.
  • 65. 65 Merci pour votre attention!