Kesako? (Qu’est-ce que c’est)?
Wazuh est une plateforme de gestion de la sécurité des informations et des événements (SIEM).Il a pour rôle d’assister a mieux gérer la sécurité des systèmes d’information.Il permet de détecter, de répondre et prévenir les incidents de sécurité informatique. Wazuh est une solution Open Source et dispose d’une interface web assez intuitive. C’est bon outils pour les Admin Système & Reseau informatique, les passionnés de la cybersécurités et étudiants. Au cours de cette article je vous montre pas à pas l’installation de cette outils sous un système linux (Debian,Ubuntu,Mint)
Caractéristique minimale du matériel
- Nombre de processeur : 2
- Mémoire Ram : 4GB
- Stockage Interne (Rom): 16GB
Installation de SIEM Wazuh ce fait en 3 étapes.dans un premier temps nous allons installer l’indexeur,du serveur (wazuh-manager) et en dernière position la tableau de bord (dashboard).Dépendamment de votre architecture vous pouvez décider d’installer les paquets séparément.Pour ce tutoriel, nous allons centraliser les 3 paquet sur le même serveur linux. Commençons!
importation de la clé GPG wazuh
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
Ajout du dépôt wazuh
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
Rafraîchissement du dépôt et installation des dépendances
sudo apt update && sudo apt upgrade && sudo apt-get install debconf adduser procps curl gnupg apt-transport-https filebeat debhelper libcap2-bin
Téléchargement du script en wazuh-certs-tool.sh et du fichier de figuration config.yml
curl -sO https://packages.wazuh.com/4.7/wazuh-certs-tool.sh && curl -sO https://packages.wazuh.com/4.7/config.yml
Modification du fichier ./config.yml. Renseignons l’adresse IP et le nom du noeud,du serveur et du dashboard. Dans notre cas,seul les adresses IP seront renseignée grâce a cette commande nano/config.yml.
nodes:
# Wazuh indexer nodes
indexer:
- name: node-1
ip: "192.168.1.1.74"
#- name: node-2
# ip: "<indexer-node-ip>"
#- name: node-3
# ip: "<indexer-node-ip>"
# Wazuh server nodes
# If there is more than one Wazuh server
# node, each one must have a node_type
server:
- name: wazuh-1
ip: "192.168.1.74"
# node_type: master
#- name: wazuh-2
# ip: "<wazuh-manager-ip>"
# node_type: worker
#- name: wazuh-3
# ip: "<wazuh-manager-ip>"
# node_type: worker
# Wazuh dashboard nodes
dashboard:
- name: dashboard
ip: "192.168.1.74"
L’exécution du script wazuh-certs-tool.sh va nous permettre de créer un nouveau dossier wazuh-certificates dans le répertoire courant.Ce dossier contient les clés de chiffrement.
bash ./wazuh-certs-tool.sh -A
tar -cvf ./wazuh-certificates.tar -C ./wazuh-certificates/ .
rm -rf ./wazuh-certificates
Installation du paquet wazuh-indexer,wazuh-manager et wazuh-dashboard
sudo apt install wazuh-indexer wazuh-manager wazuh-dashboard -y
Nous allons a présent configurer notre indexer. nous allons juste renseigner le IP de notre serveur et le nom de l’indexer si nécessaires
nano /etc/wazuh-indexer/opensearch.yml
Déploiement des certificats de l’indexer
NODE_NAME=node-1
mkdir /etc/wazuh-indexer/certs
tar -xf ./wazuh-certificates.tar -C /etc/wazuh-indexer/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./admin.pem ./admin-key.pem ./root-ca.pem
mv -n /etc/wazuh-indexer/certs/$NODE_NAME.pem /etc/wazuh-indexer/certs/indexer.pem
mv -n /etc/wazuh-indexer/certs/$NODE_NAME-key.pem /etc/wazuh-indexer/certs/indexer-key.pem
chmod 500 /etc/wazuh-indexer/certs
chmod 400 /etc/wazuh-indexer/certs/*
chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer/certs
Nous allons activer wazuh au démarrage le service wazuh-indexer
systemctl daemon-reload
systemctl enable wazuh-indexer
systemctl start wazuh-indexer
Initiation du cluster
/usr/share/wazuh-indexer/bin/indexer-security-init.sh
Test du cluster
curl -k -u admin:admin https://192.168.1.73:9200
curl -k -u admin:admin https://192.168.1.73:9200/_cat/nodes?v
Configuration du (wazuh-manager). Redémarrage et vérification de l’état du service wazuh-manager
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
systemctl status wazuh-manager
Configuration du ficher filebeat. Nous allons juste ajouté le hosts:192.168.1.73:9200
apt install filebeat #Installation du paquet filebeat
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.7/tpl/wazuh/filebeat/filebeat.yml #Téléchargement du fichier de confuguration filebeat
nano /etc/filebeat/filebeat.yml #Edition du fichier de configuration
filebeat keystore create #Création du fichier Keystore
Ajout de l’utilisateur et du mot de passe par défaut
echo admin | filebeat keystore add username --stdin --force
echo admin | filebeat keystore add password --stdin --force
Téléchargement d’un modèle d’alerte
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/v4.7.2/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
Installation des modules supplémentaire filebeat
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.3.tar.gz | tar -xvz -C /usr/share/filebeat/module
Déploiement des certificats
NODE_NAME=node-1
mkdir /etc/filebeat/certs
tar -xf ./wazuh-certificates.tar -C /etc/filebeat/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/filebeat/certs/$NODE_NAME.pem /etc/filebeat/certs/filebeat.pem
mv -n /etc/filebeat/certs/$NODE_NAME-key.pem /etc/filebeat/certs/filebeat-key.pem
chmod 500 /etc/filebeat/certs
chmod 400 /etc/filebeat/certs/*
chown -R root:root /etc/filebeat/certs
Activation et redémarrage du service filebeat
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat
Test
filebeat test output
Configuration du tableau de bord (dashbord). Nous allons modifié la variable opensearch.hosts: https://192.168.1.73:9200
nano /etc/wazuh-dashboard/opensearch_dashboards.yml
Déploiement des certificats du tableau de bord
NODE_NAME=node-1
mkdir /etc/wazuh-dashboard/certs
tar -xf ./wazuh-certificates.tar -C /etc/wazuh-dashboard/certs/ ./$NODE_NAME.pem ./$NODE_NAME-key.pem ./root-ca.pem
mv -n /etc/wazuh-dashboard/certs/$NODE_NAME.pem /etc/wazuh-dashboard/certs/dashboard.pem
mv -n /etc/wazuh-dashboard/certs/$NODE_NAME-key.pem /etc/wazuh-dashboard/certs/dashboard-key.pem
chmod 500 /etc/wazuh-dashboard/certs
chmod 400 /etc/wazuh-dashboard/certs/*
chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs
Activation et démarrage du service wazuh-dashbord. Apres avoir appliquer cette commande accéder à l’interface web de wazuh à partir de votre adresse IP suivi du port d’exposition Exemple https:192.168.1.73
Lire Aussi:Uptime Kuma facilite la surveillance des SI (Système d’Information)
systemctl daemon-reload
systemctl enable wazuh-dashboard
systemctl start wazuh-dashboard