Téléchargé paremnabenamor3
PPTX, PDF4,722 vues

Wazuh Pre.pptx

Le document présente le déploiement d'un système de détection d'intrusion basé sur l'hôte (HIDS) utilisant Wazuh, une plateforme open source intégrant OSSEC pour la détection de menaces et la surveillance de la conformité. Il décrit les composants de l'architecture de Wazuh, y compris l'agent, le serveur et l'indexeur, ainsi que le processus d'installation et de configuration des agents sur différents systèmes. Enfin, il souligne des fonctionnalités clés, telles que la réponse aux incidents et l'intégration avec Elastic Stack pour l'analyse des données de sécurité.

Intégrer la présentation

Téléchargé 95 fois
Déploiement d’un HIDS WAZUH Présenté le 19 Novembre 2022
Plan: 2 Introduction Installation Déploiement Wazuh agents Configuration 1 Conclusion 2 3 4 6 Test de Fonctionneent 5
1. Introduction
4 HIDS – Host Based Intrusion Detection System o Un Système de Détection d’Intrusion basé sur l’Hôte ( HIDS ) o Le HIDS collecte, analyse et pré-corrèle les journaux d’un client et alerte si une attaque, une utilisation frauduleuse (politique) ou une erreur détectée. o Il vérifie l’intégrité des fichiers du système local, la détection des rootkits, identifie les actions cachées des attaquants; des chevaux de Troie, des Malware, …ect. o HIDS conduit à des alertes en temps réel et a une réponse active o HIDS s’intègre facilement avec les SIEM o Le déploiement centralise des stratégies est effectue pour tous les agents HIDS afin de surveiller la conformité du serveur.
5 OSSEC o OSSEC est HIDS open source. o Il a pour objectif de détecter un comportement anormal sur une machine. o Il collecte les informations qui lui sont envoyées par les équipements, il utilise les signatures ou le comportement pour détecter une anomalie. o Un agent OSSEC est installe sur chacune des machines.
6 OSSEC
7 WAZUH o Wazuh est une plateforme open source gratuite pour la détection d’intrusion, la supervision de sécurité, la réponse aux incidents et le contrôle de conformité. o Il intègre OSSEC o Il peut être utilise pour surveiller les points de terminaison, les services cloud et les conteneurs, et pour agréger et analyser les données provenant de source externes
8 WAZUH o La solution Wazuh se compose d'un agent de sécurité des terminaux, déployé sur les systèmes surveillés, et d'un serveur de gestion, qui collecte et analyse les données recueillies par les agents. o En outre, Wazuh a été entièrement intégré à ElasticStack, fournissant un moteur de recherche et un outil de visualisation de données qui permet aux utilisateurs de naviguer dans leurs alertes de sécurité.
9 Capacités WAZUH Une brève présentation de certains des cas d'utilisation les plus courants de la solution Wazuh.
10 Architecture WAZUH o L'architecture Wazuh est basée sur des agents , exécutés sur les terminaux surveillés, qui transmettent les données de sécurité à un serveur central . o Les périphériques sans agent tels que les pare-feu, les commutateurs, les routeurs et les points d'accès sont pris en charge et peuvent soumettre activement des données de journal via Syslog, SSH ou à l'aide de leur API. o Le serveur central décode et analyse les informations entrantes et transmet les résultats à l'indexeur Wazuh pour l'indexation et le stockage. o Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs nœuds qui communiquent entre eux pour effectuer des opérations de
11 Architecture WAZUH
12 Composants WAZUH Le schéma ci-dessous représente les composants Wazuh et le flux de données.
13 Indexeur WAZUH o L'indexeur Wazuh est un moteur de recherche et d'analyse en texte intégral hautement évolutif. o L'indexeur Wazuh stocke les données sous forme de documents JSON. Chaque document met en corrélation un ensemble de clés, de noms de champs ou de propriétés, avec leurs valeurs correspondantes o Un index est une collection de documents liés les uns aux autres. o Wazuh utilise quatre index différents pour stocker différents types d'événements : wazuh - alertes, wazuh - archives, wazuh - surveillance, wazuh - statistiques
14 Serveur WAZUH o Le composant serveur Wazuh analyse les données reçues des agents , déclenchant des alertes lorsque des menaces ou des anomalies sont détectées. o Il est également utilisé pour gérer la configuration des agents à distance et surveiller leur état. o Le serveur Wazuh utilise des sources de renseignements sur les menaces pour améliorer ses capacités de détection. o Il enrichit également les données d'alerte en utilisant le cadre MITRE ATT&CK et les exigences de conformité réglementaire telles que PCI DSS, GDPR, HIPAA, CIS et NIST 800-53 fournissant un contexte utile pour l'analyse de la sécurité.
15 Serveur WAZUH Le schéma ci-dessous représente l'architecture et les composants du serveur :
16 WAZUH Dashboard o Le tableau de bord Wazuh est une interface utilisateur Web flexible et intuitive pour l'exploration, l'analyse et la visualisation des événements de sécurité et des données d'alerte. o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh. o En outre, il fournit des fonctionnalités de contrôle d'accès basé sur les rôles (RBAC), d'authentification unique (SSO) , Visualisation et analyse des données, Surveillance et configuration des agents, Gestion de la plateforme, Outils de développement
17 Agent WAZUH o L'agent Wazuh est multiplateforme et s'exécute sur les hôtes que l'utilisateur souhaite surveiller. o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh. o L'agent Wazuh fournit des fonctionnalités clés pour améliorer la sécurité de votre système.
18 Agent WAZUH Le schéma ci-dessous représente l'architecture et les composants de l'agent :
2. Installation
Installation Alternatives Toutes les alternatives incluent des instructions sur la façon d'installer les composants centraux de Wazuh . Une fois ceux-ci installés, vous devez ensuite déployer des agents sur vos terminaux. o Machines prêtes à l'emploi : Machine virtuelle (OVA) , Amazon Machine Images (AMI) o Conteneurs : Déploiement sur Docker , Déploiement sur Kubernetes o Hors ligne o Des sources : Installer le serveur Wazuh depuis les sources o Options commerciales : Installation avec la licence de base Elastic Stack, Installation avec Splunk
Machine virtuelle (OVA) 21 o Wazuh fournit une image de machine virtuelle pré-construite au format Open Virtual Appliance (OVA). Cela peut être directement importé dans VirtualBox ou d'autres systèmes de virtualisation compatibles OVA. o Téléchargez l' appliance virtuelle (OVA) , qui contient les composants suivants : o Cent OS 7 o Gestionnaire Wazuh 4.3.9 o Indexeur Wazuh 4.3.9 o Filebeat-OSS 7.10.2 o Tableau de bord Wazuh 4.3.9
Machine virtuelle (OVA) 22 o Exigences matérielles Les exigences suivantes doivent être en place avant que la machine virtuelle Wazuh puisse être importée dans un système d'exploitation hôte : oLe système d'exploitation hôte doit être un système 64 bits. oLa virtualisation matérielle doit être activée sur le firmware de l'hôte. oUne plate-forme de virtualisation, telle que VirtualBox, doit être installée sur le système hôte.
Machine virtuelle (OVA) 23 o Par défaut, la VM Wazuh est configurée avec les spécifications suivantes : NB: cette configuration matérielle peut être modifiée en fonction du nombre de terminaux protégés et des données d'alerte indexées.
Machine virtuelle (OVA) 24 o Importer et accéder à la machine virtuelle Tout d'abord, importez l'OVA sur la plate-forme de virtualisation et démarrez la machine. Utilisez l'utilisateur et le mot de passe suivants pour accéder à la machine virtuelle. Vous pouvez utiliser la plateforme de virtualisation ou y accéder via SSH. o user: wazuh-user o password: wazuh NB: Le mot de passe de l’utilisateur root est wazuh
Machine virtuelle (OVA) 25 o Accéder au tableau de bord Wazuh Peu de temps après le démarrage de la VM, le tableau de bord Wazuh est accessible depuis l'interface Web en utilisant les informations d'identification suivantes : o URL: https://<wazuh_server_ip> o user: admin o password: admin NB: vous pouvez changer le mot de passe.
Machine virtuelle (OVA) 26 o Fichiers de configuration Tous les composants inclus dans cette image virtuelle sont configurés pour fonctionner immédiatement, sans qu'il soit nécessaire de modifier les paramètres. Cependant, tous les composants peuvent être entièrement personnalisés. Voici les emplacements des fichiers de configuration : o Responsbale Wazuh: /var/ossec/etc/ossec.conf o Indexeur Wazuh: /etc/wazuh-indexer/opensearch.yml o Filebeat-OSS: /etc/filebeat/filebeat.yml o Tableau de bord Wazuh: o /etc/wazuh-dashboard/opensearch_dashbords.yml o/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml
3. Déploiement des agents Wazuh
Déployer des agents Wazuh sur des systèmes Linux (Debian) 28 o Ajouter le référentiel Wazuh Ajoutez le référentiel Wazuh pour télécharger les packages officiels. 1. Installez la clé GPG : ~# curl -s https://packages.wazuh.com/key/GPG- KEY-WAZUH | gpg --no-default-keyring --keyring gnupg- ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg 2. Ajoutez le dépôt : ~# echo "deb [signed- by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list 3. Mettez à jour les informations sur le package : ~# apt-get update
Déployer des agents Wazuh sur des systèmes Linux (Debian) 29 o Déployer un agent Wazuh 1. Pour déployer l'agent Wazuh sur votre système, sélectionnez votre gestionnaire de packages et modifiez la WAZUH_MANAGER variable pour qu'elle contienne l'adresse IP ou le nom d'hôte de votre gestionnaire Wazuh : ~# WAZUH_MANAGER="<wazuh-manager adrress>" apt-get install wazuh-agent 2. Activez et démarrez le service d'agent Wazuh : ~# systemctl daemon-reload ~# systemctl enable wazuh-agent ~# systemctl start wazuh-agent
Déployer des agents Wazuh sur des systèmes Linux (Debian) 30 o Désinstaller un agent Wazuh Pour désinstaller l'agent, exécutez les commandes suivantes : 1. Supprimez l'installation de l'agent Wazuh: ~# apt-get remove wazuh-agent ~# apt-get remove --purge wazuh-agent 2. Désactivez le service d'agent Wazuh. ~# systemctl disable wazuh-agent ~# systemctl daemon-reload
Installation des agents Wazuh sur les systèmes Windows 31 L'agent s'exécute sur l'hôte que vous souhaitez surveiller et communique avec le gestionnaire Wazuh, en envoyant des données en temps quasi réel via un canal crypté et authentifié. o Pour démarrer le processus d'installation, téléchargez le programme d' installation de Windows . o Sélectionnez la méthode d'installation que vous souhaitez suivre : interface de ligne de commande (CLI) ou interface utilisateur graphique (GUI).
Installation des agents Wazuh sur les systèmes Windows 32 1. CLI: Pour déployer l'agent Wazuh sur votre système, choisissez l'une des alternatives du shell de commande et modifiez la WAZUH_MANAGER variable afin qu'elle contienne l'adresse IP ou le nom d'hôte du gestionnaire Wazuh. • Utilisation de CMD : wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager adrress>“ • Utilisation de PowerShell : .wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager adrress>"
Installation des agents Wazuh sur les systèmes Windows 33 1. Interface graphique: Pour installer l'agent Wazuh sur votre système, exécutez le programme d'installation de Windows et suivez les étapes de l'assistant d'installation.
Désinstaller un agent Wazuh 34 Pour désinstaller l'agent, le fichier d'installation Windows d'origine est requis pour effectuer le processus sans surveillance : msiexec.exe /x wazuh-agent-4.3.9-1.msi /qn
Installation des agents Wazuh 35 Vous pouvez également déployer un nouvel agent en suivant les instructions du tableau de bord Wazuh. Allez dans Wazuh > Agents, et cliquez sur Déployer un nouvel agent. Ensuite, le tableau de bord Wazuh vous montrera les étapes pour déployer un nouvel agent.
4.Configuration
Changer la distribution ouverte pour Elasticsearchle mot de passes 37 Télécharger script pour simplifier le processus de changement du mot de passes: ~# curl -so wazuh-opendistro-passwords-tool https://packages.wazuh.com/4.3/wazuh-opendistro-passwords-tool.sh • Changer lale mot de passepour utilisateur unique Pour changer le mot de passe pour un seul utilisateur, exécutez le script avec l’ -u option. Vous pouvez indiquer le nouveau mot de passe avec options -p . Si aucun mot de passe n'est spécifié, le script en générera un aléatoire. ~# bash wazuh-opendistro-passwords-tool -u admin -p mypassword ~# systemctl restart wazuh-manager
Exécution d'une analyse de vulnérabilité 38 L'exemple suivant montre comment configurer les composants nécessaires pour exécuter le processus de détection de vulnérabilité. 1. Activez le module d'agent utilisé pour collecter les packages installés sur le système surveillé. Cela peut être fait en ajoutant le bloc de paramètres suivant à votre fichier de configuration d'agent partagé : NB: Si vous souhaitez scanner les vulnérabilités des agents Windows, vous devrez également ajouter le : <hotfixes>yes</hotfixes>
Exécution d'une analyse de vulnérabilité 39 1. Activer le module gestionnaire utilisé pour détecter les vulnérabilités. Vous pouvez le faire en ajoutant un bloc comme celui-ci au fichier de configuration de votre gestionnaire : NB: N'oubliez pas de redémarrer le gestionnaire pour appliquer les modifications : ~# systemctl restart wazuh-manager
Détecter les modifications du système de fichiers 40 Le système Wazuh syscheck est responsable de la surveillance de l'intégrité des fichiers (FIM) et de la surveillance des modifications du registre. 1. Préparation Pour activer l'agent Wazuh et la journalisation de débogage syscheck sur le fichier windows-agent . Démarrez le Bloc -notes avec l' option Exécuter en tant qu'administrateur et saisissez le texte suivant : windows.debug=2 rootcheck.sleep=0 syscheck.sleep=0
Détecter les modifications du système de fichiers 41 2. Configuration du FIM Exécutez le Wazuh Agent Manager ( ) et cliquez sur View > View Config et remplacez la grande section <syscheck> par défaut par la configuration suivante : <syscheck> <disabled>no</disabled> <scan_on_start>yes</scan_on_start> <frequency>300</frequency> <directories check_all="yes" realtime="yes" report_changes="yes">C:/MonDossier1</directories> <directories check_all="yes">C:/ MonDossier2</directories> </syscheck> Fermez et enregistrez votre fichier de configuration modifié. Redémarrez ensuite l'agent Wazuh ( Gérer > Redémarrer ).
Intégration de VirusTotal 42 Wazuh peut analyser les fichiers surveillés à la recherche de contenu malveillant dans les fichiers surveillés. Cette solution est possible grâce à une intégration avec VirusTotal, qui est une plate-forme puissante qui regroupe plusieurs produits antivirus avec un moteur d'analyse en ligne. La combinaison de cet outil avec notre moteur FIM fournit un moyen simple d'analyser les fichiers qui sont surveillés pour les inspecter à la recherche de contenu malveillant.
Intégration de VirusTotal 43 o À propos de Virus Total • VirusTotal est un service en ligne qui analyse les fichiers et les URL pour détecter les virus, vers, chevaux de Troie et autres types de contenus malveillants à l'aide de moteurs antivirus et d'analyseurs de sites Web. Il a également la capacité de détecter les faux positifs. • VirusTotal est un service gratuit avec de nombreuses fonctionnalités utiles. Pour notre propos, nous soulignerons les points suivants : • VirusTotal stocke toutes les analyses qu'il effectue, permettant de rechercher le hachage d'un fichier spécifique. • VirusTotal fournit également une API qui permet d'accéder aux informations générées par VirusTotal sans avoir besoin d'utiliser l'interface HTML du site Web.
Intégration de VirusTotal 44 o Cas d'utilisation : analyse d'un fichier Suivez les instructions de l' intégration avec des API externes pour activer le démon Integrator et configurer l'intégration de VirusTotal. Voici un exemple de configuration à ajouter sur le ossec.conf fichier :
Intégration de VirusTotal 45 o Utilisation de FIM pour surveiller un répertoire Pour ce cas d'utilisation, nous montrerons comment surveiller le dossier /media/user/software avec un agent. 1. Les éléments suivants doivent être ajoutés à <syscheck> la section du fichier de configurati 2. Après avoir appliqué la configuration, vous devez redémarrer le gestionnaire Wazuh : ~# systemctl restart wazuh-manager
Détéction des tentatives de connexion refusées avec des comptes non existants 46 o Attaque o Alert Wazuh (Agent Debian)
Détéction des tentatives de connexion refusées avec des comptes existants 47 o Attaque
Détéction des tentatives de connexion refusées avec des comptes existants 48 o Alert Wazuh (Agent Debian)
Détéction des tentatives de connexion refusées avec des comptes existants 49 o Alert Wazuh (Agent Debian)
Détéction d’une attaque force brute sur ssh 50 o Attaque
Détéction d’une attaque force brute sur ssh 51 o Alert Wazuh (Agent Debian)
Détéction d’une attaque force brute sur ssh 52 o Alert Wazuh (Agent Debian)
5.Test de Fonctionneent
Captures d’écran 54 o Présentation des modules
Captures d’écran 55 o Présentation des agent
Captures d’écran 56 o Conformité réglementaire
Captures d’écran 57 o Détection de vulnérabilité
Captures d’écran 58 o Événements de sécurité
Captures d’écran 59 o Résumé des agents
Captures d’écran 60 o Surveillance de l’intégrité des fichiers
Captures d’écran 61 o Surveillance de l’intégrité des fichiers
Démonstration 62
6.Conclusion
Conclusion 64 ● Avec le technologies Wazuh l'utilisation des techniques de détection d'intrusion basées sur les signatures et les anomalies permettent de simplifier la détection des menaces et de rendre leur analyse plus efficace. ● D'autre part, l'intégration d'un IDS hôte (pour monitorer les systèmes au niveau de l'hôte) et d'un IDS réseau (pour inspecter le trafic réseau) permet aussi d'améliorer la détection des menaces et la visibilité en matière de sécurité. Wazuh simplifie tout cela, car il permet d'intégrer les systèmes IDS hôte et réseau à la Suite Elastic, et est en mesure de fournir des mécanismes pour déclencher des réponses automatiques et bloquer des attaques en temps réel.
65 Merci pour votre attention!

Contenu connexe

PPTX
Wazuh Pre.pptx
paremnabenamor3
 
PDF
siem.pdf
partomtestsecurite
 
PDF
Mini projet Zabbix
parSamiMessaoudi4
 
PPTX
Siem OSSIM
parYaya N'Tyeni Sanogo
 
PPTX
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
parSakka Mustapha
 
PDF
Mise en place d'une solution du supérvision réseau
parRabeb Boumaiza
 
PDF
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
parAlaaeddine Tlich
 
PDF
sécurité informatique
parMohammed Zaoui
 
Wazuh Pre.pptx
paremnabenamor3
 
siem.pdf
partomtestsecurite
 
Mini projet Zabbix
parSamiMessaoudi4
 
Siem OSSIM
parYaya N'Tyeni Sanogo
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
parSakka Mustapha
 
Mise en place d'une solution du supérvision réseau
parRabeb Boumaiza
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
parAlaaeddine Tlich
 
sécurité informatique
parMohammed Zaoui
 

Tendances

PDF
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
PPTX
Mehari
parHouda Elmoutaoukil
 
PPTX
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
PDF
Etude et mise en place d’une solution open source de gestion de la sécurité d...
parMohammed LAAZIZLI
 
PDF
Rapport Splunk.pdf
parHichemKhalfi
 
PPTX
La sécurité informatique
parSaber Ferjani
 
PPTX
Sécurité dans le cloud
parHassan EL ALLOUSSI
 
PPTX
EBIOS
parHouda Elmoutaoukil
 
PDF
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
parSalmen HITANA
 
PDF
Mise en place d’un système de détection
parManassé Achim kpaya
 
PDF
RAPPORT DE STAGE SSI - Copie.pdf
parJoelChouamou
 
PPTX
Presentation pfe ingenieur d etat securite reseau et systemes
parHicham Moujahid
 
PDF
Alphorm.com Formation Logpoint SIEM: Le guide complet
parAlphorm
 
PPT
Securite informatique
parSouhaib El
 
PDF
Ch_1 - Généralités sur la sécurité informatique.pdf
parNafissa11
 
PDF
Investigation de cybersécurité avec Splunk
parIbrahimous
 
PDF
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
parBorel NZOGANG
 
DOCX
elk
parMoussaKane8
 
PDF
1- Les bases de la sécurité informatique.pdf
parbadrboutouja1
 
PPTX
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
parLeandre Cof's Yeboue
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
Mehari
parHouda Elmoutaoukil
 
IDS,SNORT ET SÉCURITÉ RESEAU
parCHAOUACHI marwen
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
parMohammed LAAZIZLI
 
Rapport Splunk.pdf
parHichemKhalfi
 
La sécurité informatique
parSaber Ferjani
 
Sécurité dans le cloud
parHassan EL ALLOUSSI
 
EBIOS
parHouda Elmoutaoukil
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
parSalmen HITANA
 
Mise en place d’un système de détection
parManassé Achim kpaya
 
RAPPORT DE STAGE SSI - Copie.pdf
parJoelChouamou
 
Presentation pfe ingenieur d etat securite reseau et systemes
parHicham Moujahid
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
parAlphorm
 
Securite informatique
parSouhaib El
 
Ch_1 - Généralités sur la sécurité informatique.pdf
parNafissa11
 
Investigation de cybersécurité avec Splunk
parIbrahimous
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
parBorel NZOGANG
 
elk
parMoussaKane8
 
1- Les bases de la sécurité informatique.pdf
parbadrboutouja1
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
parLeandre Cof's Yeboue
 

Wazuh Pre.pptx

  • 1.
  • 2.
  • 3.
  • 4.
    4 HIDS – HostBased Intrusion Detection System o Un Système de Détection d’Intrusion basé sur l’Hôte ( HIDS ) o Le HIDS collecte, analyse et pré-corrèle les journaux d’un client et alerte si une attaque, une utilisation frauduleuse (politique) ou une erreur détectée. o Il vérifie l’intégrité des fichiers du système local, la détection des rootkits, identifie les actions cachées des attaquants; des chevaux de Troie, des Malware, …ect. o HIDS conduit à des alertes en temps réel et a une réponse active o HIDS s’intègre facilement avec les SIEM o Le déploiement centralise des stratégies est effectue pour tous les agents HIDS afin de surveiller la conformité du serveur.
  • 5.
    5 OSSEC o OSSEC estHIDS open source. o Il a pour objectif de détecter un comportement anormal sur une machine. o Il collecte les informations qui lui sont envoyées par les équipements, il utilise les signatures ou le comportement pour détecter une anomalie. o Un agent OSSEC est installe sur chacune des machines.
  • 6.
  • 7.
    7 WAZUH o Wazuh estune plateforme open source gratuite pour la détection d’intrusion, la supervision de sécurité, la réponse aux incidents et le contrôle de conformité. o Il intègre OSSEC o Il peut être utilise pour surveiller les points de terminaison, les services cloud et les conteneurs, et pour agréger et analyser les données provenant de source externes
  • 8.
    8 WAZUH o La solutionWazuh se compose d'un agent de sécurité des terminaux, déployé sur les systèmes surveillés, et d'un serveur de gestion, qui collecte et analyse les données recueillies par les agents. o En outre, Wazuh a été entièrement intégré à ElasticStack, fournissant un moteur de recherche et un outil de visualisation de données qui permet aux utilisateurs de naviguer dans leurs alertes de sécurité.
  • 9.
    9 Capacités WAZUH Une brèveprésentation de certains des cas d'utilisation les plus courants de la solution Wazuh.
  • 10.
    10 Architecture WAZUH o L'architectureWazuh est basée sur des agents , exécutés sur les terminaux surveillés, qui transmettent les données de sécurité à un serveur central . o Les périphériques sans agent tels que les pare-feu, les commutateurs, les routeurs et les points d'accès sont pris en charge et peuvent soumettre activement des données de journal via Syslog, SSH ou à l'aide de leur API. o Le serveur central décode et analyse les informations entrantes et transmet les résultats à l'indexeur Wazuh pour l'indexation et le stockage. o Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs nœuds qui communiquent entre eux pour effectuer des opérations de
  • 11.
  • 12.
    12 Composants WAZUH Le schémaci-dessous représente les composants Wazuh et le flux de données.
  • 13.
    13 Indexeur WAZUH o L'indexeurWazuh est un moteur de recherche et d'analyse en texte intégral hautement évolutif. o L'indexeur Wazuh stocke les données sous forme de documents JSON. Chaque document met en corrélation un ensemble de clés, de noms de champs ou de propriétés, avec leurs valeurs correspondantes o Un index est une collection de documents liés les uns aux autres. o Wazuh utilise quatre index différents pour stocker différents types d'événements : wazuh - alertes, wazuh - archives, wazuh - surveillance, wazuh - statistiques
  • 14.
    14 Serveur WAZUH o Lecomposant serveur Wazuh analyse les données reçues des agents , déclenchant des alertes lorsque des menaces ou des anomalies sont détectées. o Il est également utilisé pour gérer la configuration des agents à distance et surveiller leur état. o Le serveur Wazuh utilise des sources de renseignements sur les menaces pour améliorer ses capacités de détection. o Il enrichit également les données d'alerte en utilisant le cadre MITRE ATT&CK et les exigences de conformité réglementaire telles que PCI DSS, GDPR, HIPAA, CIS et NIST 800-53 fournissant un contexte utile pour l'analyse de la sécurité.
  • 15.
    15 Serveur WAZUH Le schémaci-dessous représente l'architecture et les composants du serveur :
  • 16.
    16 WAZUH Dashboard o Letableau de bord Wazuh est une interface utilisateur Web flexible et intuitive pour l'exploration, l'analyse et la visualisation des événements de sécurité et des données d'alerte. o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh. o En outre, il fournit des fonctionnalités de contrôle d'accès basé sur les rôles (RBAC), d'authentification unique (SSO) , Visualisation et analyse des données, Surveillance et configuration des agents, Gestion de la plateforme, Outils de développement
  • 17.
    17 Agent WAZUH o L'agentWazuh est multiplateforme et s'exécute sur les hôtes que l'utilisateur souhaite surveiller. o Il est également utilisé pour la gestion et le suivi de la plateforme Wazuh. o L'agent Wazuh fournit des fonctionnalités clés pour améliorer la sécurité de votre système.
  • 18.
    18 Agent WAZUH Le schémaci-dessous représente l'architecture et les composants de l'agent :
  • 19.
  • 20.
    Installation Alternatives Toutes lesalternatives incluent des instructions sur la façon d'installer les composants centraux de Wazuh . Une fois ceux-ci installés, vous devez ensuite déployer des agents sur vos terminaux. o Machines prêtes à l'emploi : Machine virtuelle (OVA) , Amazon Machine Images (AMI) o Conteneurs : Déploiement sur Docker , Déploiement sur Kubernetes o Hors ligne o Des sources : Installer le serveur Wazuh depuis les sources o Options commerciales : Installation avec la licence de base Elastic Stack, Installation avec Splunk
  • 21.
    Machine virtuelle (OVA) 21 oWazuh fournit une image de machine virtuelle pré-construite au format Open Virtual Appliance (OVA). Cela peut être directement importé dans VirtualBox ou d'autres systèmes de virtualisation compatibles OVA. o Téléchargez l' appliance virtuelle (OVA) , qui contient les composants suivants : o Cent OS 7 o Gestionnaire Wazuh 4.3.9 o Indexeur Wazuh 4.3.9 o Filebeat-OSS 7.10.2 o Tableau de bord Wazuh 4.3.9
  • 22.
    Machine virtuelle (OVA) 22 oExigences matérielles Les exigences suivantes doivent être en place avant que la machine virtuelle Wazuh puisse être importée dans un système d'exploitation hôte : oLe système d'exploitation hôte doit être un système 64 bits. oLa virtualisation matérielle doit être activée sur le firmware de l'hôte. oUne plate-forme de virtualisation, telle que VirtualBox, doit être installée sur le système hôte.
  • 23.
    Machine virtuelle (OVA) 23 oPar défaut, la VM Wazuh est configurée avec les spécifications suivantes : NB: cette configuration matérielle peut être modifiée en fonction du nombre de terminaux protégés et des données d'alerte indexées.
  • 24.
    Machine virtuelle (OVA) 24 oImporter et accéder à la machine virtuelle Tout d'abord, importez l'OVA sur la plate-forme de virtualisation et démarrez la machine. Utilisez l'utilisateur et le mot de passe suivants pour accéder à la machine virtuelle. Vous pouvez utiliser la plateforme de virtualisation ou y accéder via SSH. o user: wazuh-user o password: wazuh NB: Le mot de passe de l’utilisateur root est wazuh
  • 25.
    Machine virtuelle (OVA) 25 oAccéder au tableau de bord Wazuh Peu de temps après le démarrage de la VM, le tableau de bord Wazuh est accessible depuis l'interface Web en utilisant les informations d'identification suivantes : o URL: https://<wazuh_server_ip> o user: admin o password: admin NB: vous pouvez changer le mot de passe.
  • 26.
    Machine virtuelle (OVA) 26 oFichiers de configuration Tous les composants inclus dans cette image virtuelle sont configurés pour fonctionner immédiatement, sans qu'il soit nécessaire de modifier les paramètres. Cependant, tous les composants peuvent être entièrement personnalisés. Voici les emplacements des fichiers de configuration : o Responsbale Wazuh: /var/ossec/etc/ossec.conf o Indexeur Wazuh: /etc/wazuh-indexer/opensearch.yml o Filebeat-OSS: /etc/filebeat/filebeat.yml o Tableau de bord Wazuh: o /etc/wazuh-dashboard/opensearch_dashbords.yml o/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml
  • 27.
  • 28.
    Déployer des agentsWazuh sur des systèmes Linux (Debian) 28 o Ajouter le référentiel Wazuh Ajoutez le référentiel Wazuh pour télécharger les packages officiels. 1. Installez la clé GPG : ~# curl -s https://packages.wazuh.com/key/GPG- KEY-WAZUH | gpg --no-default-keyring --keyring gnupg- ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg 2. Ajoutez le dépôt : ~# echo "deb [signed- by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list 3. Mettez à jour les informations sur le package : ~# apt-get update
  • 29.
    Déployer des agentsWazuh sur des systèmes Linux (Debian) 29 o Déployer un agent Wazuh 1. Pour déployer l'agent Wazuh sur votre système, sélectionnez votre gestionnaire de packages et modifiez la WAZUH_MANAGER variable pour qu'elle contienne l'adresse IP ou le nom d'hôte de votre gestionnaire Wazuh : ~# WAZUH_MANAGER="<wazuh-manager adrress>" apt-get install wazuh-agent 2. Activez et démarrez le service d'agent Wazuh : ~# systemctl daemon-reload ~# systemctl enable wazuh-agent ~# systemctl start wazuh-agent
  • 30.
    Déployer des agentsWazuh sur des systèmes Linux (Debian) 30 o Désinstaller un agent Wazuh Pour désinstaller l'agent, exécutez les commandes suivantes : 1. Supprimez l'installation de l'agent Wazuh: ~# apt-get remove wazuh-agent ~# apt-get remove --purge wazuh-agent 2. Désactivez le service d'agent Wazuh. ~# systemctl disable wazuh-agent ~# systemctl daemon-reload
  • 31.
    Installation des agentsWazuh sur les systèmes Windows 31 L'agent s'exécute sur l'hôte que vous souhaitez surveiller et communique avec le gestionnaire Wazuh, en envoyant des données en temps quasi réel via un canal crypté et authentifié. o Pour démarrer le processus d'installation, téléchargez le programme d' installation de Windows . o Sélectionnez la méthode d'installation que vous souhaitez suivre : interface de ligne de commande (CLI) ou interface utilisateur graphique (GUI).
  • 32.
    Installation des agentsWazuh sur les systèmes Windows 32 1. CLI: Pour déployer l'agent Wazuh sur votre système, choisissez l'une des alternatives du shell de commande et modifiez la WAZUH_MANAGER variable afin qu'elle contienne l'adresse IP ou le nom d'hôte du gestionnaire Wazuh. • Utilisation de CMD : wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager adrress>“ • Utilisation de PowerShell : .wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager adrress>"
  • 33.
    Installation des agentsWazuh sur les systèmes Windows 33 1. Interface graphique: Pour installer l'agent Wazuh sur votre système, exécutez le programme d'installation de Windows et suivez les étapes de l'assistant d'installation.
  • 34.
    Désinstaller un agentWazuh 34 Pour désinstaller l'agent, le fichier d'installation Windows d'origine est requis pour effectuer le processus sans surveillance : msiexec.exe /x wazuh-agent-4.3.9-1.msi /qn
  • 35.
    Installation des agentsWazuh 35 Vous pouvez également déployer un nouvel agent en suivant les instructions du tableau de bord Wazuh. Allez dans Wazuh > Agents, et cliquez sur Déployer un nouvel agent. Ensuite, le tableau de bord Wazuh vous montrera les étapes pour déployer un nouvel agent.
  • 36.
  • 37.
    Changer la distributionouverte pour Elasticsearchle mot de passes 37 Télécharger script pour simplifier le processus de changement du mot de passes: ~# curl -so wazuh-opendistro-passwords-tool https://packages.wazuh.com/4.3/wazuh-opendistro-passwords-tool.sh • Changer lale mot de passepour utilisateur unique Pour changer le mot de passe pour un seul utilisateur, exécutez le script avec l’ -u option. Vous pouvez indiquer le nouveau mot de passe avec options -p . Si aucun mot de passe n'est spécifié, le script en générera un aléatoire. ~# bash wazuh-opendistro-passwords-tool -u admin -p mypassword ~# systemctl restart wazuh-manager
  • 38.
    Exécution d'une analysede vulnérabilité 38 L'exemple suivant montre comment configurer les composants nécessaires pour exécuter le processus de détection de vulnérabilité. 1. Activez le module d'agent utilisé pour collecter les packages installés sur le système surveillé. Cela peut être fait en ajoutant le bloc de paramètres suivant à votre fichier de configuration d'agent partagé : NB: Si vous souhaitez scanner les vulnérabilités des agents Windows, vous devrez également ajouter le : <hotfixes>yes</hotfixes>
  • 39.
    Exécution d'une analysede vulnérabilité 39 1. Activer le module gestionnaire utilisé pour détecter les vulnérabilités. Vous pouvez le faire en ajoutant un bloc comme celui-ci au fichier de configuration de votre gestionnaire : NB: N'oubliez pas de redémarrer le gestionnaire pour appliquer les modifications : ~# systemctl restart wazuh-manager
  • 40.
    Détecter les modificationsdu système de fichiers 40 Le système Wazuh syscheck est responsable de la surveillance de l'intégrité des fichiers (FIM) et de la surveillance des modifications du registre. 1. Préparation Pour activer l'agent Wazuh et la journalisation de débogage syscheck sur le fichier windows-agent . Démarrez le Bloc -notes avec l' option Exécuter en tant qu'administrateur et saisissez le texte suivant : windows.debug=2 rootcheck.sleep=0 syscheck.sleep=0
  • 41.
    Détecter les modificationsdu système de fichiers 41 2. Configuration du FIM Exécutez le Wazuh Agent Manager ( ) et cliquez sur View > View Config et remplacez la grande section <syscheck> par défaut par la configuration suivante : <syscheck> <disabled>no</disabled> <scan_on_start>yes</scan_on_start> <frequency>300</frequency> <directories check_all="yes" realtime="yes" report_changes="yes">C:/MonDossier1</directories> <directories check_all="yes">C:/ MonDossier2</directories> </syscheck> Fermez et enregistrez votre fichier de configuration modifié. Redémarrez ensuite l'agent Wazuh ( Gérer > Redémarrer ).
  • 42.
    Intégration de VirusTotal 42 Wazuhpeut analyser les fichiers surveillés à la recherche de contenu malveillant dans les fichiers surveillés. Cette solution est possible grâce à une intégration avec VirusTotal, qui est une plate-forme puissante qui regroupe plusieurs produits antivirus avec un moteur d'analyse en ligne. La combinaison de cet outil avec notre moteur FIM fournit un moyen simple d'analyser les fichiers qui sont surveillés pour les inspecter à la recherche de contenu malveillant.
  • 43.
    Intégration de VirusTotal 43 oÀ propos de Virus Total • VirusTotal est un service en ligne qui analyse les fichiers et les URL pour détecter les virus, vers, chevaux de Troie et autres types de contenus malveillants à l'aide de moteurs antivirus et d'analyseurs de sites Web. Il a également la capacité de détecter les faux positifs. • VirusTotal est un service gratuit avec de nombreuses fonctionnalités utiles. Pour notre propos, nous soulignerons les points suivants : • VirusTotal stocke toutes les analyses qu'il effectue, permettant de rechercher le hachage d'un fichier spécifique. • VirusTotal fournit également une API qui permet d'accéder aux informations générées par VirusTotal sans avoir besoin d'utiliser l'interface HTML du site Web.
  • 44.
    Intégration de VirusTotal 44 oCas d'utilisation : analyse d'un fichier Suivez les instructions de l' intégration avec des API externes pour activer le démon Integrator et configurer l'intégration de VirusTotal. Voici un exemple de configuration à ajouter sur le ossec.conf fichier :
  • 45.
    Intégration de VirusTotal 45 oUtilisation de FIM pour surveiller un répertoire Pour ce cas d'utilisation, nous montrerons comment surveiller le dossier /media/user/software avec un agent. 1. Les éléments suivants doivent être ajoutés à <syscheck> la section du fichier de configurati 2. Après avoir appliqué la configuration, vous devez redémarrer le gestionnaire Wazuh : ~# systemctl restart wazuh-manager
  • 46.
    Détéction des tentativesde connexion refusées avec des comptes non existants 46 o Attaque o Alert Wazuh (Agent Debian)
  • 47.
    Détéction des tentativesde connexion refusées avec des comptes existants 47 o Attaque
  • 48.
    Détéction des tentativesde connexion refusées avec des comptes existants 48 o Alert Wazuh (Agent Debian)
  • 49.
    Détéction des tentativesde connexion refusées avec des comptes existants 49 o Alert Wazuh (Agent Debian)
  • 50.
    Détéction d’une attaqueforce brute sur ssh 50 o Attaque
  • 51.
    Détéction d’une attaqueforce brute sur ssh 51 o Alert Wazuh (Agent Debian)
  • 52.
    Détéction d’une attaqueforce brute sur ssh 52 o Alert Wazuh (Agent Debian)
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
  • 58.
  • 59.
  • 60.
    Captures d’écran 60 o Surveillancede l’intégrité des fichiers
  • 61.
    Captures d’écran 61 o Surveillancede l’intégrité des fichiers
  • 62.
  • 63.
  • 64.
    Conclusion 64 ● Avec letechnologies Wazuh l'utilisation des techniques de détection d'intrusion basées sur les signatures et les anomalies permettent de simplifier la détection des menaces et de rendre leur analyse plus efficace. ● D'autre part, l'intégration d'un IDS hôte (pour monitorer les systèmes au niveau de l'hôte) et d'un IDS réseau (pour inspecter le trafic réseau) permet aussi d'améliorer la détection des menaces et la visibilité en matière de sécurité. Wazuh simplifie tout cela, car il permet d'intégrer les systèmes IDS hôte et réseau à la Suite Elastic, et est en mesure de fournir des mécanismes pour déclencher des réponses automatiques et bloquer des attaques en temps réel.
  • 65.