Wazuh – Présentation et installation

Dans ce qui va suivre, vous allez voir l’installation de l’HIDS (Host Intrusion Detected System) Wazuh et la configuration d’un agent sous linux.

Qu’est ce que Wazuh ?

Wazuh fournit une solution de sécurité capable de surveiller votre infrastructure, de détecter les menaces, les tentatives d’intrusion, les anomalies du système, les applications mal configurées et les actions non autorisées des utilisateurs. Il fournit également un cadre pour la réponse aux incidents et la conformité réglementaire. Il se positionne comme un SIEM (Security Information and Event Management) ou gestion des événements et des informations de sécurité.

C’est un logiciel Open Source, né du Fork de OSSEC, Il reprend le même code mais cependant Wazuh a une communauté plus nombreuse et plus active.

Comme vous pouvez le constater sur ces 2 images :

 

Wazuh se compose principalement d’un master et d’agents, installé sur différentes machines (Windows, Linux, Mac OS X, AIX, Solaris and HP-UX)

Les agents s’occupent, entre autres, de collecter les logs, inventorier les process en cours d’exécution et détecter les rootkits.

Le master, quant à lui a pour objectif d’analyser les données reçues et manager les agents.

Enfin, pour la partie visualisation, Wazuh se base sur la stack ELK.

Quels sont les cas d’usage?

• Analyse de la sécurité
• Détection d’intrusion
• Analyse des données des journaux
• Surveillance de l’intégrité des fichiers
• Détection des vulnérabilités
• Évaluation de la configuration
• Réponse aux incidents
• Conformité réglementaire

Acheter le livre OSSEC Host-Based Intrusion Detection Guide (Amazon)

Installation

Plusieurs méthodes d’installation sont disponible, en fonction de l’usage que l’on souhaite en avoir.

Dans notre cas, c’est un test, voir découverte : donc nous allons suivre la méthode la plus direct et qui demande le moins de ressources.

Prérequis :

OS	Debian 8 ou Centos 7 ou Ubuntu
Ressources	4GO RAM et 2CPU

 

1- Lancer la commande :

[pastacode lang= »bash » manual= »curl%20-so%20~%2Funattended-installation.sh%20https%3A%2F%2Fpackages.wazuh.com%2Fresources%2F4.2%2Fopen-distro%2Funattended-installation%2Funattended-installation.sh%20%26%26%20bash%20~%2Funattended-installation.sh » message= »Installation de tout ce qu’il faut … » highlight= » » provider= »manual »/]

2 – Copier et gardez au chaud la sortie standard :

[pastacode lang= »bash » manual= »The%20password%20for%20wazuh%20is%20Nqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2%0A%0AThe%20password%20for%20admin%20is%20bshqf1wLYH30RS7hvLueIKrKixakQJX1%0A%0AThe%20password%20for%20kibanaserver%20is%20RKpr2N0JiUAq3pLl0qSpqYBueHspGO6F%0A%0AThe%20password%20for%20kibanaro%20is%20GuAL5t_Nu1fiHEVHNRmOljYWSIKFLHee%0A%0AThe%20password%20for%20logstash%20is%20eMoMRzS_dt-BWVmdPP_GzkmO0QzG5d9G%0A%0AThe%20password%20for%20readall%20is%20Sdi3dGwxPe-DhPOoCwHaRH5ckMABYeRb%0A%0AThe%20password%20for%20snapshotrestore%20is%20TYEXCKBFKwFB2RI1t8S2w7cLXe5E_bF-%0A%0AThe%20password%20for%20wazuh_admin%20is%20jmq26BD5-UXKqkK_N9kU3o6av0Ve3QG1%0A%0AThe%20password%20for%20wazuh_user%20is%20RYk-jujxBMzHnyNzzz1gH8gikcxc_PnA%0A%0A02%2F19%2F2022%2019%3A35%3A32%20INFO%3A%20Passwords%20changed.%20Remember%20to%20update%20the%20password%20in%20%2Fetc%2Ffilebeat%2Ffilebeat.yml%20and%20%2Fetc%2Fkibana%2Fkibana.yml%20if%20necessary%20and%20restart%20the%20services.%20More%20info%3A%20https%3A%2F%2Fdocumentation.wazuh.com%2Fcurrent%2Fuser-manual%2Felasticsearch%2Felastic-tuning.html%23change-users-password%0A02%2F19%2F2022%2019%3A35%3A32%20INFO%3A%20Checking%20the%20installation…%0A02%2F19%2F2022%2019%3A35%3A33%20INFO%3A%20Elasticsearch%20installation%20succeeded.%0A02%2F19%2F2022%2019%3A35%3A33%20INFO%3A%20Filebeat%20installation%20succeeded.%0A02%2F19%2F2022%2019%3A35%3A33%20INFO%3A%20Initializing%20Kibana%20(this%20may%20take%20a%20while)%0A.%0A02%2F19%2F2022%2019%3A35%3A46%20INFO%3A%20Installation%20finished%0A02%2F19%2F2022%2019%3A35%3A46%20INFO%3A%20You%20can%20access%20the%20web%20interface%20https%3A%2F%2F%3Ckibana_ip%3E.%20The%20credentials%20are%20wazuh%3ANqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2″ message= »Output » highlight= » » provider= »manual »/]

3 – Accéder à l’interface web :

[pastacode lang= »markup » manual= »URL%3A%20https%3A%2F%2F%3Cwazuh_server_ip%3E%0Auser%3A%20wazuh%0Apassword%3A%20%3Cwazuh_user_password%3E » message= » » highlight= » » provider= »manual »/]

utilisez le login Wazuh et le premier mot de passe fournit en sortie standard. (pour moi ça sera « Nqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2« )

Une fois connecté, vous verrez cette page vide :

 

Ajouter un agent

Cliquez sur « add agent »

Suivez les instructions à l’ecran…au final vous aurez droit à une commande à lancer sur votre agent. Cette commande installera l’agent sur la machine puis l’enrôlera automatiquement sur le manager.

[pastacode lang= »bash » manual= »curl%20-so%20wazuh-agent-4.2.5.deb%20https%3A%2F%2Fpackages.wazuh.com%2F4.x%2Fapt%2Fpool%2Fmain%2Fw%2Fwazuh-agent%2Fwazuh-agent_4.2.5-1_amd64.deb%20%26%26%20sudo%20WAZUH_MANAGER%3D’localhost’%20WAZUH_AGENT_GROUP%3D’default’%20dpkg%20-i%20.%2Fwazuh-agent-4.2.5.deb » message= » » highlight= » » provider= »manual »/]

lancer le service :

[pastacode lang= »bash » manual= »sudo%20systemctl%20daemon-reload%0Asudo%20systemctl%20enable%20wazuh-agent%0Asudo%20systemctl%20start%20wazuh-agent » message= » » highlight= » » provider= »manual »/]

Une fois cela fait, vous pourrez suivre les événements de sécurité de vos agents directement sur l’interface de Wazuh.

Vous pourrez aussi modifier la configuration de vos agents directement depuis le manager grâce a la  configuration centralisée.