La plateforme HIPS/SIEM Wazuh
Introduction
L’objectif de ce chapitre technique est de présenter un outil open source incontournable dans la panoplie d’outils de protection/détection/remédiation du SOC : Wazuh, véritable plateforme de type SIEM combiné avec une fonctionnalité de protection avancée des postes de travail (EDR). Cet exemple constitue un premier cas d’illustration de la possibilité de faire appel à des composants logiciels de grande qualité et totalement gratuits d’un point de vue licences.
Wazuh
1. Introduction
Fork du projet OSSEC, Wazuh est en passe de devenir la référence open source en matière de détection des menaces avancées dans les systèmes d’information. Wazuh est utilisé dans le monde entier par de grands groupes (source : wazuh.com). Il est également très intéressant pour les MSSP (Managed Security Service Provider) qui cherchent à mettre en œuvre une solution rapide et fiable à moindres frais et qui peut tout à fait correspondre à une première phase d’expérimentation ou de benchmarking ou alors directement à une phase de production.
Wazuh est un HIPS (Host Intrusion Protection System) qui permet de traiter les problématiques de détection des menaces/intrusions/anomalies de comportement, de surveillance de la sécurité de réponse aux incidents et de conformité réglementaire. Il permet de gérer tout type d’actif IT comme des points de terminaison, des serveurs, des services cloud, ou encore des conteneurs. La fonctionnalité HIPS est implémentée via un agent installé sur les points de terminaison dont le système d’exploitation est compatible.
Wazuh est également un SIEM qui permet de collecter, agréger, indexer et analyser des données de sécurité provenant de sources externes.
Wazuh = Détection de menaces + Surveillance + Réponse aux incidents + Conformité
Les grandes fonctionnalités de Wazuh sont les suivantes :
-
Analyse de la sécurité : c’est la fonctionnalité de collecte de logs "clients", de stockage sur le serveur Wazuh et d’analyse qui font de Wazuh une véritable solution de SIEM.
-
Détection d’intrusion : les agents sont en charge de la recherche de malwares ou autres rootkits, ainsi que d’actions utilisateur ou non de type suspect. La détection est également gérée par le composant serveur de Wazuh.
-
Analyse des données du journal de logs
-
Surveillance de l’intégrité des fichiers : les changements de contenu, les droits d’accès, les attributs des fichiers sont analysés par l’agent.
-
Détection de vulnérabilités : Wazuh...