Wazuh

Fonctionnement technique

Wazuh est une plateforme de sécurité open source offrant des capacités de SIEM, XDR et compliance unifiées. L'architecture se compose d'agents déployés sur les endpoints (Linux, Windows, macOS), d'un serveur central (Wazuh Manager) qui analyse les événements et génère les alertes, et d'un indexer (basé sur OpenSearch) qui stocke et permet la recherche dans les données de sécurité.

Le Wazuh Manager reçoit les événements des agents, les décode via des decoders (parsing des logs), puis les évalue contre des règles de détection hiérarchiques. Le moteur de règles utilise un système de niveaux (0-15) et de groupes pour catégoriser les alertes. Les règles peuvent corréler des événements multiples (frequency, same_source_ip) et s'intègrent avec les frameworks MITRE ATT&CK et CIS Benchmarks.

Les modules de l'agent incluent : File Integrity Monitoring (FIM) pour détecter les modifications de fichiers critiques, Security Configuration Assessment (SCA) pour vérifier la conformité des configurations, Vulnerability Detection pour scanner les packages installés contre les bases CVE, et Syscollector pour inventorier le matériel et les logiciels. Le module Active Response peut exécuter des actions automatiques (blocage IP, kill process) en réponse aux alertes.

Cas d'usage

Wazuh est déployé par des organisations de toutes tailles comme SIEM/XDR open source, offrant une alternative crédible aux solutions commerciales (Splunk, Elastic Security, Sentinel). Les SOC l'utilisent pour la détection d'intrusion, l'investigation d'incidents et la conformité réglementaire (PCI DSS, HIPAA, GDPR, NIS2).

Les MSSP (Managed Security Service Providers) apprécient Wazuh pour sa multi-tenancy et son absence de coûts de licence. Les PME l'adoptent pour obtenir une visibilité de sécurité sans le budget d'un SIEM commercial. L'intégration avec MITRE ATT&CK permet de mapper les détections sur les techniques adverses et de mesurer la couverture de détection.

Outils et implémentation

Wazuh Manager s'installe sur Linux (Ubuntu, CentOS, Amazon Linux) via packages ou Docker. Le Wazuh Dashboard (fork de OpenSearch Dashboards) fournit l'interface de visualisation, les tableaux de bord et la gestion des règles. La commande agent_control gère les agents à distance.

L'intégration avec TheHive et SOAR (Shuffle) automatise la réponse aux incidents. VirusTotal et AbuseIPDB enrichissent les alertes avec de la threat intelligence. YARA rules peuvent être exécutées par l'agent pour la détection de malwares. Les Wazuh Ruleset communautaires étendent les capacités de détection au-delà des règles par défaut.

Défense / Bonnes pratiques

Lors du déploiement de Wazuh, commencez par les serveurs critiques et étendez progressivement le déploiement des agents. Configurez le File Integrity Monitoring sur les répertoires sensibles : fichiers de configuration système, binaires, clés de registre Windows, répertoires web. Définissez des exclusions pour éviter les faux positifs sur les fichiers légitimement modifiés (logs, caches).

Personnalisez les règles de détection pour votre environnement : augmentez le niveau des alertes pertinentes et supprimez les faux positifs récurrents. Créez des règles personnalisées pour vos applications métier. Activez la corrélation d'événements pour détecter les attaques multi-étapes (brute force suivi d'authentification réussie, par exemple).

Configurez l'Active Response avec prudence pour éviter les blocages légitimes : commencez en mode alerte seule, validez les règles, puis activez progressivement le blocage automatique. Dimensionnez le stockage OpenSearch selon votre volume de logs (prévoyez 1-5 Go/jour par agent selon la verbosité). Implémentez la rotation et la rétention des index pour maîtriser les coûts de stockage.

Articles associés

Voir nos articles détaillés sur ce sujet.