Wazuh est une plateforme open source utilisée pour la prévention, la détection et la réponse aux menaces. Elle sécurise les environnements de travail sur site, virtualisés, conteneurisés et en cloud. Wazuh est largement utilisé par des milliers d’organisations à travers le monde, de la petite entreprise à la grande entreprise.
La solution Wazuh se compose de plusieurs agents de sécurité des terminaux, déployés sur les systèmes surveillés, et d’un serveur de gestion, qui collecte et analyse les données recueillies par les agents. En outre, Wazuh a été entièrement intégré à Elastic Stack, fournissant un moteur de recherche et un outil de visualisation des données qui permet aux utilisateurs de naviguer à travers leurs alertes de sécurité.
Les fonctions de wazuh
- Analyse de la sécurité
- détection d’intrusion
- analyse des données du journal
- contrôle de l’intégrité des fichiers
- détection de la vulnérabilité
- évaluation de configuration
- réponse aux incidents
- la sécurité cloud
- sécurité des conteneurs
- conformité réglementaire
- détection et réponse aux points terminaux (EDR)
Composition de Wazuh
Architecture
Ses composants
L’agent Wazuh : Installé sur les terminaux tels que les ordinateurs portables, les ordinateurs de bureau, les serveurs, les instances de cloud ou les machines virtuelles, il offre des capacités de prévention, de détection et de réponse. Elle prend en charge les plateformes Windows, Linux, MacOS, HP-UX, Solaris et AIX.
Serveur Wazuh : Il analyse les données reçues des agents, les traite au moyen de décodeurs et de règles, et utilise le renseignement sur les menaces pour rechercher des indicateurs de compromission bien connus (IOC). Un seul serveur peut analyser les données de centaines ou de milliers d’agents, et s’étendre horizontalement lorsqu’il est configuré en grappe. Le serveur est également utilisé pour gérer les agents, en les configurant et en les mettant à niveau à distance si nécessaire.
Elastic Stack : Elle indexe et stocke les alertes générées par le serveur Wazuh. En outre, l’intégration entre Wazuh et Kibana fournit une interface utilisateur puissante pour la visualisation et l’analyse des données. Cette interface est également utilisée pour gérer la configuration de Wazuh et pour surveiller son état.
En plus des capacités de surveillance basées sur l’agent, la plateforme Wazuh peut surveiller les dispositifs sans agent tels que les pare-feu, les commutateurs, les routeurs ou les IDS de réseau, entre autres. Par exemple, les données d’un journal système peuvent être collectées via Syslog, et sa configuration peut être surveillée grâce à un sondage périodique de ses données (par exemple via SSH ou via une API).
Installation
Installez Wazuh et ses multiples composants en suivant le processus d’installation qui convient le mieux à vos besoins. Pour en savoir plus sur chaque composant et ses capacités, consultez la documentation suivante :
Procédure d’installation de wazuh
Documentation
La documentation est très complète elle décrit comment configurer et utiliser chacun des composants de Wazuh, qui sont le serveur Wazuh, l’agent Wazuh et Elastic Stack.
Communauté
La communauté autour de wazuh est très active.
WAZUH Community
Mise à jour
Wazuh depuis sa version 4.0 a véritablement évoluée : WAZUH 4.3 les évolutions majeures
2 commentaires
Bonjour,
Je viens de tomber sur ton article durant mes recherches d’informations sur la mise en place d’un SIEM. Je suis partagé entre WASHU et SUMO LOGIC. As tu déployer la solution WASHU ? Est ce un SIEM ou pas ?
Salut Tahyori, Oui Wazuh est un siem tres performant.