Sommaire
Dans cet article, nous allons apprendre à déployer rapidement et facilement la solution XDR open source Wazuh via Docker.
Wazuh est une solution open-source de surveillance des évènements de sécurité basée sur OSSEC. Cette solution permet de jouer le rôle de SIEM (Security Information and Event Management) et de XDR (eXtended Detection and Response) au sein d’une infrastructure.
Notre objectif est ici d’être rapidement opérationnel sur cette solution avec une architecture légère et rapide à déployer. Nous verrons également comment installer l’agent Wazuh sur des systèmes Windows et Linux. Nous finirons par visualiser le statut et la configuration de ces agents dans l’interface Wazuh.L’idée de l’article n’est pas de décrire l’installation complète de Wazuh dans un environnement d’entreprise, en prenant en compte les bonnes pratiques de déploiement et de sécurité (certificats, mots de passe, redondance, charge). En revanche, suivre cette procédure vous conviendra parfaitement si vous souhaitez le déployer dans un lab cybersécurité, découvrir la solution rapidement ou même vous former aux solutions XDR.
Avant de passer au déploiement, nous allons faire un rapide rappel de ce qu’est un XDR et de ces principales différences avec un antivirus et un EDR.
Le terme antivirus est certainement le plus connu des utilisateurs grand public, même si peu de non-initiés savent réellement quel est leur fonctionnement et rôle. La fonction principale d’un antivirus est de protéger le système des menaces connues. Ils utilisent pour cela l’analyse statique, et notamment les empreintes (hash) pour identifier s’il s’agit de programmes malveillants connus. Les antivirus plus avancés (à l’époque où ils étaient le summum des solutions de sécurité) utilisent également des sandbox pour exécuter dans un environnement contrôlé les programmes lancés par l’utilisateur. Ces environnements limités et surveillés permettent de réaliser une analyse comportementale en vérifiant les actions et communications de chaque programme.
Les attaquants ont néanmoins appris à contourner ces analyses statiques et dynamiques qui ont donc commencé à montrer leurs limites face aux attaques sophistiquées. À présent, la surveillance efficace d’un système d’information passe par le déploiement d’un EDR (Endpoint Detection & Response) sur chacun des systèmes le composant. Les EDR utilisent des hooks (accroche), des points d'interception au niveau du noyau, pour surveiller les activités des programmes en temps réel. Là où l’antivirus se concentre sur les programmes malveillants, les EDR permettent une surveillance précise du comportement des programmes et des utilisateurs sur le système. En parallèle, ils produisent une télémétrie avancée sur toutes les activités qu’ils jugent suspectes et sont en capacités de bloquer l’exécution d’un programme, l’accès à certaines ressources sensibles ou d’isoler un système compromis du réseau. Cette télémétrie est ensuite centralisée au sein d’une plateforme unique de visualisation, gestion et configura...
[Courte citation de 8% de l'article original]