WAZUH – Installation et configuration d’un manager et agent

wazuh logo

Wazuh – Présentation et installation

Dans ce qui va suivre, vous allez voir l’installation de l’HIDS (Host Intrusion Detected System) Wazuh et la configuration d’un agent sous linux.

wazuh logo
wazuh logo

Qu’est ce que Wazuh ?

Wazuh fournit une solution de sécurité capable de surveiller votre infrastructure, de détecter les menaces, les tentatives d’intrusion, les anomalies du système, les applications mal configurées et les actions non autorisées des utilisateurs. Il fournit également un cadre pour la réponse aux incidents et la conformité réglementaire. Il se positionne comme un SIEM (Security Information and Event Management) ou gestion des événements et des informations de sécurité.

C’est un logiciel Open Source, né du Fork de OSSEC, Il reprend le même code mais cependant Wazuh a une communauté plus nombreuse et plus active.

Comme vous pouvez le constater sur ces 2 images :

wazuh github contrib
wazuh github 

 

ossec github contrib
ossec github 

Wazuh se compose principalement d’un master et d’agents, installé sur différentes machines (Windows, Linux, Mac OS X, AIX, Solaris and HP-UX)

Les agents s’occupent, entre autres, de collecter les logs, inventorier les process en cours d’exécution et détecter les rootkits.

Le master, quant à lui a pour objectif d’analyser les données reçues et manager les agents.

Enfin, pour la partie visualisation, Wazuh se base sur la stack ELK.

Quels sont les cas d’usage?

  • Analyse de la sécurité
  • Détection d’intrusion
  • Analyse des données des journaux
  • Surveillance de l’intégrité des fichiers
  • Détection des vulnérabilités
  • Évaluation de la configuration
  • Réponse aux incidents
  • Conformité réglementaire

Acheter le livre OSSEC Host-Based Intrusion Detection Guide (Amazon)

livre ossec

Installation

Plusieurs méthodes d’installation sont disponible, en fonction de l’usage que l’on souhaite en avoir.

Dans notre cas, c’est un test, voir découverte : donc nous allons suivre la méthode la plus direct et qui demande le moins de ressources.

Prérequis :

OS Debian 8 ou Centos 7 ou Ubuntu
Ressources 4GO RAM et 2CPU

 

1- Lancer la commande :

curl -so ~/unattended-installation.sh https://packages.wazuh.com/resources/4.2/open-distro/unattended-installation/unattended-installation.sh && bash ~/unattended-installation.sh
Installation de tout ce qu'il faut ...

2 – Copier et gardez au chaud la sortie standard :

The password for wazuh is Nqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2

The password for admin is bshqf1wLYH30RS7hvLueIKrKixakQJX1

The password for kibanaserver is RKpr2N0JiUAq3pLl0qSpqYBueHspGO6F

The password for kibanaro is GuAL5t_Nu1fiHEVHNRmOljYWSIKFLHee

The password for logstash is eMoMRzS_dt-BWVmdPP_GzkmO0QzG5d9G

The password for readall is Sdi3dGwxPe-DhPOoCwHaRH5ckMABYeRb

The password for snapshotrestore is TYEXCKBFKwFB2RI1t8S2w7cLXe5E_bF-

The password for wazuh_admin is jmq26BD5-UXKqkK_N9kU3o6av0Ve3QG1

The password for wazuh_user is RYk-jujxBMzHnyNzzz1gH8gikcxc_PnA

02/19/2022 19:35:32 INFO: Passwords changed. Remember to update the password in /etc/filebeat/filebeat.yml and /etc/kibana/kibana.yml if necessary and restart the services. More info: https://documentation.wazuh.com/current/user-manual/elasticsearch/elastic-tuning.html#change-users-password
02/19/2022 19:35:32 INFO: Checking the installation...
02/19/2022 19:35:33 INFO: Elasticsearch installation succeeded.
02/19/2022 19:35:33 INFO: Filebeat installation succeeded.
02/19/2022 19:35:33 INFO: Initializing Kibana (this may take a while)
.
02/19/2022 19:35:46 INFO: Installation finished
02/19/2022 19:35:46 INFO: You can access the web interface https://<kibana_ip>. The credentials are wazuh:Nqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2
Output

3 – Accéder à l’interface web :

URL: https://<wazuh_server_ip>
user: wazuh
password: <wazuh_user_password>

utilisez le login Wazuh et le premier mot de passe fournit en sortie standard. (pour moi ça sera « Nqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2« )

wazuh interface gui web

Une fois connecté, vous verrez cette page vide :

accueil wazuh web gui

 

Ajouter un agent

Cliquez sur « add agent »

Suivez les instructions à l’ecran…au final vous aurez droit à une commande à lancer sur votre agent. Cette commande installera l’agent sur la machine puis l’enrôlera automatiquement sur le manager.

curl -so wazuh-agent-4.2.5.deb https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.2.5-1_amd64.deb && sudo WAZUH_MANAGER='localhost' WAZUH_AGENT_GROUP='default' dpkg -i ./wazuh-agent-4.2.5.deb

lancer le service :

sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Une fois cela fait, vous pourrez suivre les événements de sécurité de vos agents directement sur l’interface de Wazuh.

Vous pourrez aussi modifier la configuration de vos agents directement depuis le manager grâce a la  configuration centralisée.

Electrotuto

Passionné par les nouvelles technologie, notamment l’électronique et tout ce qui se rapporte de prés ou de loin a ce domaine. Arduino et photographie son mes passe temps favoris.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Post comment