Déploiement d’un HIDS
WAZUH
Présenté le 19 Novembre 2022

Plan:
2
Introduction
Installation
Déploiement Wazuh agents
Configuration
1
Conclusion
2
3
4
6
Test de Fonctionneent
5

1. Introduction

4
HIDS – Host Based Intrusion Detection System
o Un Système de Détection d’Intrusion basé sur l’Hôte ( HIDS )
o Le HIDS collecte, analyse et pré-corrèle les journaux d’un client et alerte si
une attaque, une utilisation frauduleuse (politique) ou une erreur détectée.
o Il vérifie l’intégrité des fichiers du système local, la détection des rootkits,
identifie les actions cachées des attaquants; des chevaux de Troie, des
Malware, …ect.
o HIDS conduit à des alertes en temps réel et a une réponse active
o HIDS s’intègre facilement avec les SIEM
o Le déploiement centralise des stratégies est effectue pour tous les agents
HIDS afin de surveiller la conformité du serveur.

5
OSSEC
o OSSEC est HIDS open source.
o Il a pour objectif de détecter un comportement anormal sur une machine.
o Il collecte les informations qui lui sont envoyées par les équipements, il
utilise les signatures ou le comportement pour détecter une anomalie.
o Un agent OSSEC est installe sur chacune des machines.

6
OSSEC

7
WAZUH
o Wazuh est une plateforme open source gratuite pour la détection
d’intrusion, la supervision de sécurité, la réponse aux incidents et le
contrôle de conformité.
o Il intègre OSSEC
o Il peut être utilise pour surveiller les points de terminaison, les services
cloud et les conteneurs, et pour agréger et analyser les données provenant
de source externes

8
WAZUH
o La solution Wazuh se compose d'un agent de sécurité des terminaux,
déployé sur les systèmes surveillés, et d'un serveur de gestion, qui
collecte et analyse les données recueillies par les agents.
o En outre, Wazuh a été entièrement intégré à ElasticStack,
fournissant un moteur de recherche et un outil de visualisation de
données qui permet aux utilisateurs de naviguer dans leurs alertes
de sécurité.

9
Capacités WAZUH
Une brève présentation de certains des cas d'utilisation les plus
courants de la solution Wazuh.

10
Architecture WAZUH
o L'architecture Wazuh est basée sur des agents , exécutés sur les
terminaux surveillés, qui transmettent les données de sécurité à
un serveur central .
o Les périphériques sans agent tels que les pare-feu, les
commutateurs, les routeurs et les points d'accès sont pris en charge
et peuvent soumettre activement des données de journal via Syslog,
SSH ou à l'aide de leur API.
o Le serveur central décode et analyse les informations entrantes et
transmet les résultats à l'indexeur Wazuh pour l'indexation et le
stockage.
o Le cluster d'indexeurs Wazuh est un ensemble d'un ou plusieurs
nœuds qui communiquent entre eux pour effectuer des opérations de

11
Architecture WAZUH

12
Composants WAZUH
Le schéma ci-dessous représente les composants Wazuh et le flux de
données.

13
Indexeur WAZUH
o L'indexeur Wazuh est un moteur de recherche et d'analyse en texte
intégral hautement évolutif.
o L'indexeur Wazuh stocke les données sous forme de documents
JSON. Chaque document met en corrélation un ensemble de clés, de
noms de champs ou de propriétés, avec leurs valeurs
correspondantes
o Un index est une collection de documents liés les uns aux autres.
o Wazuh utilise quatre index différents pour stocker différents types
d'événements : wazuh - alertes, wazuh - archives,
wazuh - surveillance, wazuh - statistiques

14
Serveur WAZUH
o Le composant serveur Wazuh analyse les données reçues
des agents , déclenchant des alertes lorsque des menaces ou des
anomalies sont détectées.
o Il est également utilisé pour gérer la configuration des agents à
distance et surveiller leur état.
o Le serveur Wazuh utilise des sources de renseignements sur les
menaces pour améliorer ses capacités de détection.
o Il enrichit également les données d'alerte en utilisant le cadre MITRE
ATT&CK et les exigences de conformité réglementaire telles que PCI
DSS, GDPR, HIPAA, CIS et NIST 800-53 fournissant un contexte
utile pour l'analyse de la sécurité.

15
Serveur WAZUH
Le schéma ci-dessous représente l'architecture et les composants du
serveur :

16
WAZUH Dashboard
o Le tableau de bord Wazuh est une interface utilisateur Web flexible et
intuitive pour l'exploration, l'analyse et la visualisation des
événements de sécurité et des données d'alerte.
o Il est également utilisé pour la gestion et le suivi de la plateforme
Wazuh.
o En outre, il fournit des fonctionnalités de contrôle d'accès basé sur
les rôles (RBAC), d'authentification unique (SSO) , Visualisation et
analyse des données, Surveillance et configuration des agents,
Gestion de la plateforme, Outils de développement

17
Agent WAZUH
o L'agent Wazuh est multiplateforme et s'exécute sur les hôtes que
l'utilisateur souhaite surveiller.
o Il est également utilisé pour la gestion et le suivi de la plateforme
Wazuh.
o L'agent Wazuh fournit des fonctionnalités clés pour améliorer la
sécurité de votre système.

18
Agent WAZUH
Le schéma ci-dessous représente l'architecture et les composants de
l'agent :

2. Installation

Installation Alternatives
Toutes les alternatives incluent des instructions sur la façon d'installer les composants
centraux de Wazuh . Une fois ceux-ci installés, vous devez ensuite déployer des agents
sur vos terminaux.
o Machines prêtes à l'emploi : Machine virtuelle (OVA) , Amazon Machine
Images (AMI)
o Conteneurs : Déploiement sur Docker , Déploiement sur Kubernetes
o Hors ligne
o Des sources : Installer le serveur Wazuh depuis les sources
o Options commerciales : Installation avec la licence de base Elastic
Stack, Installation avec Splunk

Machine virtuelle (OVA)
21
o Wazuh fournit une image de machine virtuelle pré-construite au
format Open Virtual Appliance (OVA). Cela peut être directement
importé dans VirtualBox ou d'autres systèmes de virtualisation
compatibles OVA.
o Téléchargez l' appliance virtuelle (OVA) , qui contient les composants
suivants :
o Cent OS 7
o Gestionnaire Wazuh 4.3.9
o Indexeur Wazuh 4.3.9
o Filebeat-OSS 7.10.2
o Tableau de bord Wazuh 4.3.9

Machine virtuelle (OVA)
22
o Exigences matérielles
Les exigences suivantes doivent être en place avant que la machine
virtuelle Wazuh puisse être importée dans un système d'exploitation
hôte :
oLe système d'exploitation hôte doit être un système 64 bits.
oLa virtualisation matérielle doit être activée sur le firmware de l'hôte.
oUne plate-forme de virtualisation, telle que VirtualBox, doit être installée sur
le système hôte.

Machine virtuelle (OVA)
23
o Par défaut, la VM Wazuh est configurée avec les spécifications
suivantes :
NB: cette configuration matérielle peut être modifiée en fonction du
nombre de terminaux protégés et des données d'alerte indexées.

Machine virtuelle (OVA)
24
o Importer et accéder à la machine virtuelle
Tout d'abord, importez l'OVA sur la plate-forme de virtualisation et
démarrez la machine.
Utilisez l'utilisateur et le mot de passe suivants pour accéder à la machine
virtuelle. Vous pouvez utiliser la plateforme de virtualisation ou y accéder
via SSH.
o user: wazuh-user
o password: wazuh
NB: Le mot de passe de l’utilisateur root est wazuh

Machine virtuelle (OVA)
25
o Accéder au tableau de bord Wazuh
Peu de temps après le démarrage de la VM, le tableau de bord Wazuh
est accessible depuis l'interface Web en utilisant les informations
d'identification suivantes :
o URL: https://<wazuh_server_ip>
o user: admin
o password: admin
NB: vous pouvez changer le mot de passe.

Machine virtuelle (OVA)
26
o Fichiers de configuration
Tous les composants inclus dans cette image virtuelle sont configurés
pour fonctionner immédiatement, sans qu'il soit nécessaire de modifier les
paramètres. Cependant, tous les composants peuvent être entièrement
personnalisés. Voici les emplacements des fichiers de configuration :
o Responsbale Wazuh: /var/ossec/etc/ossec.conf
o Indexeur Wazuh: /etc/wazuh-indexer/opensearch.yml
o Filebeat-OSS: /etc/filebeat/filebeat.yml
o Tableau de bord Wazuh:
o /etc/wazuh-dashboard/opensearch_dashbords.yml
o/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml

3. Déploiement des
agents Wazuh

Déployer des agents Wazuh sur des
systèmes Linux (Debian)
28
o Ajouter le référentiel Wazuh
Ajoutez le référentiel Wazuh pour télécharger les packages officiels.
1. Installez la clé GPG : ~# curl -s https://packages.wazuh.com/key/GPG-
KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-
ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644
/usr/share/keyrings/wazuh.gpg
2. Ajoutez le dépôt : ~# echo "deb [signed-
by=/usr/share/keyrings/wazuh.gpg]
https://packages.wazuh.com/4.x/apt/ stable main" | tee -a
/etc/apt/sources.list.d/wazuh.list
3. Mettez à jour les informations sur le package : ~# apt-get update

Déployer des agents Wazuh sur des
systèmes Linux (Debian)
29
o Déployer un agent Wazuh
1. Pour déployer l'agent Wazuh sur votre système, sélectionnez votre
gestionnaire de packages et modifiez la WAZUH_MANAGER variable pour
qu'elle contienne l'adresse IP ou le nom d'hôte de votre gestionnaire Wazuh :
~# WAZUH_MANAGER="<wazuh-manager adrress>" apt-get install
wazuh-agent
2. Activez et démarrez le service d'agent Wazuh :
~# systemctl daemon-reload
~# systemctl enable wazuh-agent
~# systemctl start wazuh-agent

Déployer des agents Wazuh sur des
systèmes Linux (Debian)
30
o Désinstaller un agent Wazuh
Pour désinstaller l'agent, exécutez les commandes suivantes :
1. Supprimez l'installation de l'agent Wazuh:
~# apt-get remove wazuh-agent
~# apt-get remove --purge wazuh-agent
2. Désactivez le service d'agent Wazuh.
~# systemctl disable wazuh-agent
~# systemctl daemon-reload

Installation des agents Wazuh sur les
systèmes Windows
31
L'agent s'exécute sur l'hôte que vous souhaitez surveiller et communique avec
le gestionnaire Wazuh, en envoyant des données en temps quasi réel via un
canal crypté et authentifié.
o Pour démarrer le processus d'installation, téléchargez le programme
d' installation de Windows .
o Sélectionnez la méthode d'installation que vous souhaitez suivre : interface
de ligne de commande (CLI) ou interface utilisateur graphique (GUI).

Installation des agents Wazuh sur les
systèmes Windows
32
1. CLI:
Pour déployer l'agent Wazuh sur votre système, choisissez l'une des
alternatives du shell de commande et modifiez la WAZUH_MANAGER
variable afin qu'elle contienne l'adresse IP ou le nom d'hôte du gestionnaire
Wazuh.
• Utilisation de CMD :
wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager
adrress>“
• Utilisation de PowerShell :
.wazuh-agent-4.3.9-1.msi /q WAZUH_MANAGER="<wazuh-manager
adrress>"

Installation des agents Wazuh sur les
systèmes Windows
33
1. Interface graphique:
Pour installer l'agent Wazuh sur votre système, exécutez le programme
d'installation de Windows et suivez les étapes de l'assistant d'installation.

Désinstaller un agent Wazuh
34
Pour désinstaller l'agent, le fichier d'installation Windows d'origine est requis
pour effectuer le processus sans surveillance :
msiexec.exe /x wazuh-agent-4.3.9-1.msi /qn

Installation des agents Wazuh
35
Vous pouvez également déployer un nouvel agent en suivant les instructions du
tableau de bord Wazuh. Allez dans Wazuh > Agents, et cliquez sur Déployer
un nouvel agent.
Ensuite, le tableau de bord Wazuh vous montrera les étapes pour
déployer un nouvel agent.

4.Configuration

Changer la distribution ouverte pour
Elasticsearchle mot de passes
37
Télécharger script pour simplifier le processus de changement du mot de
passes:
~# curl -so wazuh-opendistro-passwords-tool
https://packages.wazuh.com/4.3/wazuh-opendistro-passwords-tool.sh
• Changer lale mot de passepour utilisateur unique
Pour changer le mot de passe pour un seul utilisateur, exécutez le script avec l’ -u
option. Vous pouvez indiquer le nouveau mot de passe avec options -p . Si aucun mot
de passe n'est spécifié, le script en générera un aléatoire.
~# bash wazuh-opendistro-passwords-tool -u admin -p mypassword
~# systemctl restart wazuh-manager

Exécution d'une analyse de vulnérabilité
38
L'exemple suivant montre comment configurer les
composants nécessaires pour exécuter le processus de
détection de vulnérabilité.
1. Activez le module d'agent utilisé pour collecter les
packages installés sur le système surveillé. Cela peut
être fait en ajoutant le bloc de paramètres suivant à
votre fichier de configuration d'agent partagé :
NB: Si vous souhaitez scanner les vulnérabilités des
agents Windows, vous devrez également ajouter le :
<hotfixes>yes</hotfixes>

Exécution d'une analyse de vulnérabilité
39
1. Activer le module gestionnaire utilisé pour
détecter les vulnérabilités. Vous pouvez le
faire en ajoutant un bloc comme celui-ci au
fichier de configuration de votre gestionnaire :
NB: N'oubliez pas de redémarrer le gestionnaire
pour appliquer les modifications :
~# systemctl restart wazuh-manager

Détecter les modifications du système de
fichiers
40
Le système Wazuh syscheck est responsable de la surveillance de l'intégrité des
fichiers (FIM) et de la surveillance des modifications du registre.
1. Préparation
Pour activer l'agent Wazuh et la journalisation de débogage syscheck sur le
fichier windows-agent . Démarrez le Bloc -notes avec l' option Exécuter en tant
qu'administrateur et saisissez le texte suivant :
windows.debug=2
rootcheck.sleep=0
syscheck.sleep=0

Détecter les modifications du système de
fichiers
41
2. Configuration du FIM
Exécutez le Wazuh Agent Manager ( ) et cliquez sur View > View Config et remplacez la
grande section <syscheck> par défaut par la configuration suivante :
<syscheck>
<disabled>no</disabled>
<scan_on_start>yes</scan_on_start>
<frequency>300</frequency>
<directories check_all="yes" realtime="yes" report_changes="yes">C:/MonDossier1</directories>
<directories check_all="yes">C:/ MonDossier2</directories>
</syscheck>
Fermez et enregistrez votre fichier de configuration modifié. Redémarrez ensuite l'agent
Wazuh ( Gérer > Redémarrer ).

Intégration de VirusTotal
42
Wazuh peut analyser les fichiers surveillés à la recherche de contenu malveillant
dans les fichiers surveillés. Cette solution est possible grâce à une intégration avec
VirusTotal, qui est une plate-forme puissante qui regroupe plusieurs produits
antivirus avec un moteur d'analyse en ligne.
La combinaison de cet outil avec notre moteur FIM fournit un moyen simple
d'analyser les fichiers qui sont surveillés pour les inspecter à la recherche de
contenu malveillant.

Intégration de VirusTotal
43
o À propos de Virus Total
• VirusTotal est un service en ligne qui analyse les fichiers et les URL pour détecter les
virus, vers, chevaux de Troie et autres types de contenus malveillants à l'aide de
moteurs antivirus et d'analyseurs de sites Web. Il a également la capacité de détecter les
faux positifs.
• VirusTotal est un service gratuit avec de nombreuses fonctionnalités utiles. Pour notre
propos, nous soulignerons les points suivants :
• VirusTotal stocke toutes les analyses qu'il effectue, permettant de rechercher le
hachage d'un fichier spécifique.
• VirusTotal fournit également une API qui permet d'accéder aux informations
générées par VirusTotal sans avoir besoin d'utiliser l'interface HTML du site Web.

Intégration de VirusTotal
44
o Cas d'utilisation : analyse d'un fichier
Suivez les instructions de l' intégration avec des API externes pour activer le
démon Integrator et configurer l'intégration de VirusTotal.
Voici un exemple de configuration à ajouter sur le ossec.conf fichier :

Intégration de VirusTotal
45
o Utilisation de FIM pour surveiller un répertoire
Pour ce cas d'utilisation, nous montrerons comment surveiller le dossier /media/user/software
avec un agent.
1. Les éléments suivants doivent être ajoutés à <syscheck> la section du fichier de configurati
2. Après avoir appliqué la configuration, vous devez redémarrer le gestionnaire Wazuh :
~# systemctl restart wazuh-manager

Détéction des tentatives de connexion
refusées avec des comptes non existants
46
o Attaque
o Alert Wazuh (Agent Debian)

Détéction des tentatives de connexion
refusées avec des comptes existants
47
o Attaque

Détéction des tentatives de connexion
refusées avec des comptes existants
48
o Alert Wazuh (Agent Debian)

Détéction des tentatives de connexion
refusées avec des comptes existants
49
o Alert Wazuh (Agent Debian)

Détéction d’une attaque force brute sur ssh
50
o Attaque

Détéction d’une attaque force brute sur ssh
51
o Alert Wazuh (Agent Debian)

Détéction d’une attaque force brute sur ssh
52
o Alert Wazuh (Agent Debian)

5.Test de Fonctionneent

Captures d’écran
54
o Présentation des modules

Captures d’écran
55
o Présentation des agent

Captures d’écran
56
o Conformité réglementaire

Captures d’écran
57
o Détection de vulnérabilité

Captures d’écran
58
o Événements de sécurité

Captures d’écran
59
o Résumé des agents

Captures d’écran
60
o Surveillance de l’intégrité des fichiers

Captures d’écran
61
o Surveillance de l’intégrité des fichiers

Démonstration
62

6.Conclusion

Conclusion
64
● Avec le technologies Wazuh l'utilisation des techniques de détection
d'intrusion basées sur les signatures et les anomalies permettent de
simplifier la détection des menaces et de rendre leur analyse plus
efficace.
● D'autre part, l'intégration d'un IDS hôte (pour monitorer les systèmes au
niveau de l'hôte) et d'un IDS réseau (pour inspecter le trafic réseau)
permet aussi d'améliorer la détection des menaces et la visibilité en
matière de sécurité. Wazuh simplifie tout cela, car il permet d'intégrer
les systèmes IDS hôte et réseau à la Suite Elastic, et est en mesure de
fournir des mécanismes pour déclencher des réponses automatiques et
bloquer des attaques en temps réel.

65
Merci pour votre attention!