WAZUH – Installation et configuration d’un manager et agent

wazuh logo

Wazuh – Présentation et installation

Dans ce qui va suivre, vous allez voir l’installation de l’HIDS (Host Intrusion Detected System) Wazuh et la configuration d’un agent sous linux.

wazuh logo
wazuh logo

Qu’est ce que Wazuh ?

Wazuh fournit une solution de sécurité capable de surveiller votre infrastructure, de détecter les menaces, les tentatives d’intrusion, les anomalies du système, les applications mal configurées et les actions non autorisées des utilisateurs. Il fournit également un cadre pour la réponse aux incidents et la conformité réglementaire. Il se positionne comme un SIEM (Security Information and Event Management) ou gestion des événements et des informations de sécurité.

C’est un logiciel Open Source, né du Fork de OSSEC, Il reprend le même code mais cependant Wazuh a une communauté plus nombreuse et plus active.

Comme vous pouvez le constater sur ces 2 images :

wazuh github contrib
wazuh github 

 

ossec github contrib
ossec github 

Wazuh se compose principalement d’un master et d’agents, installé sur différentes machines (Windows, Linux, Mac OS X, AIX, Solaris and HP-UX)

Les agents s’occupent, entre autres, de collecter les logs, inventorier les process en cours d’exécution et détecter les rootkits.

Le master, quant à lui a pour objectif d’analyser les données reçues et manager les agents.

Enfin, pour la partie visualisation, Wazuh se base sur la stack ELK.

Quels sont les cas d’usage?

  • Analyse de la sécurité
  • Détection d’intrusion
  • Analyse des données des journaux
  • Surveillance de l’intégrité des fichiers
  • Détection des vulnérabilités
  • Évaluation de la configuration
  • Réponse aux incidents
  • Conformité réglementaire

Acheter le livre OSSEC Host-Based Intrusion Detection Guide (Amazon)

livre ossec

Installation

Plusieurs méthodes d’installation sont disponible, en fonction de l’usage que l’on souhaite en avoir.

Dans notre cas, c’est un test, voir découverte : donc nous allons suivre la méthode la plus direct et qui demande le moins de ressources.

Prérequis :

OS Debian 8 ou Centos 7 ou Ubuntu
Ressources 4GO RAM et 2CPU

 

1- Lancer la commande :

[pastacode lang= »bash » manual= »curl%20-so%20~%2Funattended-installation.sh%20https%3A%2F%2Fpackages.wazuh.com%2Fresources%2F4.2%2Fopen-distro%2Funattended-installation%2Funattended-installation.sh%20%26%26%20bash%20~%2Funattended-installation.sh » message= »Installation de tout ce qu’il faut … » highlight= » » provider= »manual »/]

2 – Copier et gardez au chaud la sortie standard :

[pastacode lang= »bash » manual= »The%20password%20for%20wazuh%20is%20Nqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2%0A%0AThe%20password%20for%20admin%20is%20bshqf1wLYH30RS7hvLueIKrKixakQJX1%0A%0AThe%20password%20for%20kibanaserver%20is%20RKpr2N0JiUAq3pLl0qSpqYBueHspGO6F%0A%0AThe%20password%20for%20kibanaro%20is%20GuAL5t_Nu1fiHEVHNRmOljYWSIKFLHee%0A%0AThe%20password%20for%20logstash%20is%20eMoMRzS_dt-BWVmdPP_GzkmO0QzG5d9G%0A%0AThe%20password%20for%20readall%20is%20Sdi3dGwxPe-DhPOoCwHaRH5ckMABYeRb%0A%0AThe%20password%20for%20snapshotrestore%20is%20TYEXCKBFKwFB2RI1t8S2w7cLXe5E_bF-%0A%0AThe%20password%20for%20wazuh_admin%20is%20jmq26BD5-UXKqkK_N9kU3o6av0Ve3QG1%0A%0AThe%20password%20for%20wazuh_user%20is%20RYk-jujxBMzHnyNzzz1gH8gikcxc_PnA%0A%0A02%2F19%2F2022%2019%3A35%3A32%20INFO%3A%20Passwords%20changed.%20Remember%20to%20update%20the%20password%20in%20%2Fetc%2Ffilebeat%2Ffilebeat.yml%20and%20%2Fetc%2Fkibana%2Fkibana.yml%20if%20necessary%20and%20restart%20the%20services.%20More%20info%3A%20https%3A%2F%2Fdocumentation.wazuh.com%2Fcurrent%2Fuser-manual%2Felasticsearch%2Felastic-tuning.html%23change-users-password%0A02%2F19%2F2022%2019%3A35%3A32%20INFO%3A%20Checking%20the%20installation…%0A02%2F19%2F2022%2019%3A35%3A33%20INFO%3A%20Elasticsearch%20installation%20succeeded.%0A02%2F19%2F2022%2019%3A35%3A33%20INFO%3A%20Filebeat%20installation%20succeeded.%0A02%2F19%2F2022%2019%3A35%3A33%20INFO%3A%20Initializing%20Kibana%20(this%20may%20take%20a%20while)%0A.%0A02%2F19%2F2022%2019%3A35%3A46%20INFO%3A%20Installation%20finished%0A02%2F19%2F2022%2019%3A35%3A46%20INFO%3A%20You%20can%20access%20the%20web%20interface%20https%3A%2F%2F%3Ckibana_ip%3E.%20The%20credentials%20are%20wazuh%3ANqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2″ message= »Output » highlight= » » provider= »manual »/]

3 – Accéder à l’interface web :

[pastacode lang= »markup » manual= »URL%3A%20https%3A%2F%2F%3Cwazuh_server_ip%3E%0Auser%3A%20wazuh%0Apassword%3A%20%3Cwazuh_user_password%3E » message= » » highlight= » » provider= »manual »/]

utilisez le login Wazuh et le premier mot de passe fournit en sortie standard. (pour moi ça sera « Nqu2-aYAuo0_iJvx1eFd_Iu1zgaspaR2« )

wazuh interface gui web

Une fois connecté, vous verrez cette page vide :

accueil wazuh web gui

 

Ajouter un agent

Cliquez sur « add agent »

Suivez les instructions à l’ecran…au final vous aurez droit à une commande à lancer sur votre agent. Cette commande installera l’agent sur la machine puis l’enrôlera automatiquement sur le manager.

[pastacode lang= »bash » manual= »curl%20-so%20wazuh-agent-4.2.5.deb%20https%3A%2F%2Fpackages.wazuh.com%2F4.x%2Fapt%2Fpool%2Fmain%2Fw%2Fwazuh-agent%2Fwazuh-agent_4.2.5-1_amd64.deb%20%26%26%20sudo%20WAZUH_MANAGER%3D’localhost’%20WAZUH_AGENT_GROUP%3D’default’%20dpkg%20-i%20.%2Fwazuh-agent-4.2.5.deb » message= » » highlight= » » provider= »manual »/]

lancer le service :

[pastacode lang= »bash » manual= »sudo%20systemctl%20daemon-reload%0Asudo%20systemctl%20enable%20wazuh-agent%0Asudo%20systemctl%20start%20wazuh-agent » message= » » highlight= » » provider= »manual »/]

Une fois cela fait, vous pourrez suivre les événements de sécurité de vos agents directement sur l’interface de Wazuh.

Vous pourrez aussi modifier la configuration de vos agents directement depuis le manager grâce a la  configuration centralisée.

Passionné par les nouvelles technologie, notamment l’électronique et tout ce qui se rapporte de prés ou de loin a ce domaine. Arduino et photographie son mes passe temps favoris.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Post comment