Aller au contenu

Wazuh : surveillance du SI orientée sécurité

Wazuh est un outil complet orienté sécurité, avec plusieurs fonctionnalités (entre autres) :

  • (SCA) Evaluation régulière de la conformité d'une configuration à partir de règles pré-définies,
  • Détection de malwares,
  • (FIM) File Integrity Monitoring : surveille l'intégrité de fcichiers et dossiers et alerte pour tout ajout/modification/suppression,
  • Détection de menaces via l'analyse de différentes sources de données (logs, réseaux),
  • Analyse des logs : l'agent wazuh remonte les logs et ils sont analysés,
  • Détection des vulnérabilités : wazuh utilise la base des CVEs (Common Vulnerabilities and Exposures),
  • Automatiser la réponse aux incidents de sécurité,
  • Vérification de la conformité réglementaire via : le FIM, le SCA, Détection des vulnérabilités, Détection de malwares, Automatiser la réponse aux incidents de sécurité.

Cet outil aide à la détection d'intrusions, au monitoring de la sécurité, à la réponse aux incidents et à la conformité réglementaire.

Wazuh est égalemnt un SIEM en utilisant ces fonctionnalités :

  • Analyse des logs : l'agent wazuh remonte les logs et ils sont analysés,
  • Détection de menaces via l'analyse de différentes sources de données (logs, réseaux),
  • (SCA) Evaluation régulière de la conformité d'une configuration à partir de règles pré-définies,
  • Vérification de la conformité réglementaire via : le FIM, le SCA, Détection des vulnérabilités, Détection de malwares, Automatiser la réponse aux incidents de sécurité,
  • Alerting.

L'agent wazuh (qui se charge de remonter) peut être provisionné sur différents équipements et OS (Windows,Linux...)

Ses composants :

composants-wazuh

Le dashboard wazuh utilise OpenSearch, un fork ElasticSearch.

Ce que nous verrons

La documentation officielle est bien fournie, nous aborderons uniquement quelques points précis.