Comprendre l'écosystème
Dans un réseau d'entreprise, il est impossible de surveiller chaque serveur manuellement. Wazuh permet de centraliser la sécurité en combinant deux approches :
- Le côté SIEM (Passif) : Collecte les journaux (logs) et les alertes provenant de plusieurs équipements pour fournir une visibilité globale[cite: 16]. Il identifie les comportements anormaux.
- Le côté XDR/EDR (Actif) : Ne se contente pas d'alerter, mais intègre des mécanismes d'analyse et d'automatisation pour bloquer les menaces en temps réel sur les points d'extrémité (serveurs et postes clients)[cite: 16].
Architecture et Agents
L'installation repose sur une architecture client-serveur sécurisée :
- Le Serveur (Manager) : Hébergé sur une distribution Linux (Debian ou Ubuntu)[cite: 15]. C'est le cerveau qui analyse les données reçues.
- Les Agents : De petits programmes installés sur les machines cibles (par exemple un Active Directory sous Windows Server, ou un service DHCP sous Linux)[cite: 15, 16].
- Sécurité des échanges : Afin d'assurer l'intégrité et la confidentialité des logs remontés, les communications entre le Manager et les Agents sont sécurisées via l'utilisation de certificats[cite: 15].
Évaluation Proactive (Chasse aux menaces)
L'un des atouts majeurs de la solution est sa capacité à auditer le parc informatique de manière proactive[cite: 17]. Je suis en mesure de :
Vérifier les configurations des serveurs pour identifier les failles potentielles. Wazuh attribue un score de vulnérabilité, classe les tests (réussis ou en échec) et propose des remédiations pour corriger l'infrastructure avant même qu'une attaque n'ait lieu[cite: 17].
La solution s'appuie notamment sur les bases de données CVE (Common Vulnerabilities and Exposures) pour alerter sur des failles connues, et utilise le framework MITRE ATT&CK pour cartographier les tactiques et techniques potentielles des attaquants[cite: 17].
Réponse Active aux Incidents
La vraie puissance de l'outil se révèle dans sa capacité de réponse automatisée face à une attaque avérée[cite: 16, 18].
Cas d'usage concret testé en laboratoire :
- Simulation d'une attaque par force brute (avec l'outil Hydra depuis un système Kali Linux) visant le service SSH d'un serveur ciblé[cite: 18].
- Wazuh détecte immédiatement la multiplication des tentatives de connexion échouées[cite: 18].
- Active Response : Plutôt que de simplement générer une ligne de log, le serveur Wazuh ordonne à l'Agent de la machine ciblée de bloquer dynamiquement l'adresse IP de l'attaquant pendant une durée déterminée (ex: 180 secondes), rendant toute communication impossible (blocage du ping et des flux)[cite: 18].