Kesako? (Qu’est-ce que c’est)?

Wazuh est une plateforme de gestion de la sécurité des informations et des événements (SIEM).Il a pour rôle d’assister a mieux gérer la sécurité des systèmes d’information.Il permet de détecter, de répondre et prévenir les incidents de sécurité informatique. Wazuh est une solution Open Source et dispose d’une interface web assez intuitive. C’est bon outils pour les Admin Système & Reseau informatique, les passionnés de la cybersécurités et étudiants. Au cours de cette article je vous montre pas à pas l’installation de cette outils sous un système linux (Debian,Ubuntu,Mint)

Caractéristique minimale du matériel

  • Nombre de processeur : 2
  • Mémoire Ram : 4GB
  • Stockage Interne (Rom): 16GB

Installation de SIEM Wazuh ce fait en 3 étapes.dans un premier temps nous allons installer l’indexeur,du serveur (wazuh-manager) et en dernière position la tableau de bord (dashboard).Dépendamment de votre architecture vous pouvez décider d’installer les paquets séparément.Pour ce tutoriel, nous allons centraliser les 3 paquet sur le même serveur linux. Commençons!

importation de la clé GPG wazuh

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

Ajout du dépôt wazuh

echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list

Rafraîchissement du dépôt et installation des dépendances

sudo apt update && sudo apt upgrade && sudo apt-get install debconf adduser procps curl gnupg apt-transport-https filebeat debhelper libcap2-bin

Téléchargement du script en wazuh-certs-tool.sh et du fichier de figuration config.yml

curl -sO https://packages.wazuh.com/4.7/wazuh-certs-tool.sh && curl -sO https://packages.wazuh.com/4.7/config.yml

Modification du fichier ./config.yml. Renseignons l’adresse IP et le nom du noeud,du serveur et du dashboard. Dans notre cas,seul les adresses IP seront renseignée grâce a cette commande nano/config.yml.

nodes:
  # Wazuh indexer nodes
  indexer:
    - name: node-1
      ip: "192.168.1.1.74"
    #- name: node-2
    #  ip: "<indexer-node-ip>"
    #- name: node-3
    #  ip: "<indexer-node-ip>"

  # Wazuh server nodes
  # If there is more than one Wazuh server
  # node, each one must have a node_type
  server:
    - name: wazuh-1
      ip: "192.168.1.74"
    #  node_type: master
    #- name: wazuh-2
    #  ip: "<wazuh-manager-ip>"
    #  node_type: worker
    #- name: wazuh-3
    #  ip: "<wazuh-manager-ip>"
    #  node_type: worker

  # Wazuh dashboard nodes
  dashboard:
    - name: dashboard
      ip: "192.168.1.74"

L’exécution du script wazuh-certs-tool.sh va nous permettre de créer un nouveau dossier wazuh-certificates dans le répertoire courant.Ce dossier contient les clés de chiffrement.

bash ./wazuh-certs-tool.sh -A
tar -cvf ./wazuh-certificates.tar -C ./wazuh-certificates/ .
rm -rf ./wazuh-certificates

Installation du paquet wazuh-indexer,wazuh-manager et wazuh-dashboard

sudo apt install wazuh-indexer wazuh-manager wazuh-dashboard -y

Nous allons a présent configurer notre indexer. nous allons juste renseigner le IP de notre serveur et le nom de l’indexer si nécessaires

nano /etc/wazuh-indexer/opensearch.yml

Déploiement des certificats de l’indexer

NODE_NAME=node-1
mkdir /etc/wazuh-indexer/certs
tar -xf ./wazuh-certificates.tar -C /etc/wazuh-indexer/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./admin.pem ./admin-key.pem ./root-ca.pem
mv -n /etc/wazuh-indexer/certs/$NODE_NAME.pem /etc/wazuh-indexer/certs/indexer.pem
mv -n /etc/wazuh-indexer/certs/$NODE_NAME-key.pem /etc/wazuh-indexer/certs/indexer-key.pem
chmod 500 /etc/wazuh-indexer/certs
chmod 400 /etc/wazuh-indexer/certs/*
chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer/certs

Nous allons activer wazuh au démarrage le service wazuh-indexer

systemctl daemon-reload
systemctl enable wazuh-indexer
systemctl start wazuh-indexer

Initiation du cluster

/usr/share/wazuh-indexer/bin/indexer-security-init.sh

Test du cluster

curl -k -u admin:admin https://192.168.1.73:9200
curl -k -u admin:admin https://192.168.1.73:9200/_cat/nodes?v

Configuration du (wazuh-manager). Redémarrage et vérification de l’état du service wazuh-manager

systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
systemctl status wazuh-manager

Configuration du ficher filebeat. Nous allons juste ajouté le hosts:192.168.1.73:9200

apt install filebeat #Installation du paquet filebeat
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.7/tpl/wazuh/filebeat/filebeat.yml #Téléchargement du fichier de confuguration filebeat
nano /etc/filebeat/filebeat.yml #Edition du fichier de configuration
filebeat keystore create #Création du fichier Keystore

Ajout de l’utilisateur et du mot de passe par défaut

echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force

Téléchargement d’un modèle d’alerte

curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.7.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json

Installation des modules supplémentaire filebeat

curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.3.tar.gz | tar -xvz -C /usr/share/filebeat/module

Déploiement des certificats

NODE_NAME=node-1
mkdir /etc/filebeat/certs
tar -xf ./wazuh-certificates.tar -C /etc/filebeat/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/filebeat/certs/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem
mv -n /etc/filebeat/certs/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem
chmod 500 /etc/filebeat/certs
chmod 400 /etc/filebeat/certs/*
chown -R root:root /etc/filebeat/certs

Activation et redémarrage du service filebeat

systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat

Test

filebeat test output

Configuration du tableau de bord (dashbord). Nous allons modifié la variable opensearch.hosts: https://192.168.1.73:9200

nano /etc/wazuh-dashboard/opensearch_dashboards.yml

Déploiement des certificats du tableau de bord

NODE_NAME=node-1
mkdir /etc/wazuh-dashboard/certs
tar -xf ./wazuh-certificates.tar -C /etc/wazuh-dashboard/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/wazuh-dashboard/certs/$NODE_NAME.pem /etc/wazuh-dashboard/certs/dashboard.pem
mv -n /etc/wazuh-dashboard/certs/$NODE_NAME-key.pem /etc/wazuh-dashboard/certs/dashboard-key.pem
chmod 500 /etc/wazuh-dashboard/certs
chmod 400 /etc/wazuh-dashboard/certs/*
chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs

Activation et démarrage du service wazuh-dashbord. Apres avoir appliquer cette commande accéder à l’interface web de wazuh à partir de votre adresse IP suivi du port d’exposition Exemple https:192.168.1.73

Lire Aussi:Uptime Kuma facilite la surveillance des SI (Système d’Information)

systemctl daemon-reload
systemctl enable wazuh-dashboard
systemctl start wazuh-dashboard

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *