Nous avons couvert et expliqué Wazuh en tant que solution SIEM et IDS/IPS ainsi que son cas d'utilisation dans le domaine de la cybersécurité et ses composants tels que l'indexeur Wazuh, le serveur Wazuh, le tableau de bord et les agents Wazuh. Nous avons également comparé Splunk et Wazuh en ce qui concerne leur utilisation en tant que SIEM, produits d'analyse de données et principaux composants. Nous avons également couvert les composants importants, principalement les décodeurs et les règles, dans Wazuh qui sont utilisés pour traiter et générer des alertes. Pour démontrer cela pratiquement, nous avons utilisé Règles d'alerte personnalisées TryHackMe à Wazuh et nous avons également couvert les réponses pour EssayezHackMe Wazuh Chambre.
Le cours pratique complet sur les tests d’intrusion d’applications Web
Points forts
Qu’est-ce que Wazuh ?
Wazuh est une solution EDR (endpoint Detection and Response.) et peut être considérée comme un HIDS (Host Intrusion Detection System). Il surveille le point final pour détecter tout indicateur de menace ou de violation de politique, en plus de la capacité d'audit par rapport à certains cadres de cybersécurité.
Wazuh peut être utilisé pour réaliser les objectifs suivants :
- Auditer un appareil pour détecter les vulnérabilités courantes
- Surveillance proactive d'un appareil à la recherche d'activités suspectes telles que des connexions non autorisées, des attaques par force brute ou des élévations de privilèges
- Visualiser des données et des événements complexes dans des graphiques soignés et tendance
- Enregistrer le comportement de fonctionnement normal d'un appareil pour faciliter la détection des anomalies.
Composants Wazuh
- Indexeur Wazuh: L'indexeur stocke les différentes alertes générées pour permettre la recherche et l'analyse de données en temps réel.
- Serveur Wazuh : Le serveur Wazuh reçoit les journaux collectés par les agents, compare les journaux collectés à un ensemble de décodeurs et de règles et génère des alertes. Le serveur Wazuh est également responsable de tous les aspects liés aux agents, notamment la configuration et le déploiement.
- Tableau de bord Wazuh: Le tableau de bord Wazuh sert d'interface utilisateur à partir de laquelle vous pouvez rechercher, analyser et visualiser des données.
- Agents Wazuh: Responsable de la collecte des journaux des points de terminaison sur lesquels ils sont installés.
Agents Wazuh
Les appareils qui enregistrent les événements et les processus d'un système sont appelés agents. Les agents surveillent les processus et les événements qui se déroulent sur l'appareil, tels que l'authentification et la gestion des utilisateurs. Les agents déchargeront ces journaux vers un collecteur désigné pour traitement, tel que Wazuh.
Pour que Wazuh soit renseigné, des agents doivent être installés sur les appareils pour enregistrer de tels événements. Wazuh peut vous guider tout au long du processus de déploiement de l'agent à condition que vous remplissiez certains pré-requis tels que : :
- Système opérateur
- L'adresse du serveur Wazuh auquel l'agent doit envoyer les journaux (cela peut être une entrée DNS ou une adresse IP)
- Dans quel groupe l'agent appartiendra - vous pouvez trier les agents en groupes au sein de Wazuh si vous le souhaitez
Réponses de la salle | EssayezHackMe Wazuh
Combien d’agents ce serveur de gestion Wazuh gère-t-il ?
2
Quel est le statut des agents gérés par ce serveur de gestion Wazuh ?
débranché
Combien d’alertes « Événement de sécurité » ont été générées par l’agent « AGENT-001 » ?
Note: Vous devrez vous assurer que votre plage horaire inclut le 11 mars 2022
196
Quel est le nom de l'outil que nous pouvons utiliser pour surveiller les événements du système ?
sysmon
Dans quelle application standard sous Windows ces événements système sont-ils enregistrés ?
Observateur d'événements
Quel est le chemin complet du fichier vers les règles situées sur un serveur de gestion Wazuh ?
/var/ossec/ensemble de règles/règles
Quelle application utilisons-nous sous Linux pour surveiller des événements tels que l’exécution de commandes ?
audité
Quel est le chemin complet et le nom de fichier de l'endroit où l'application susmentionnée stocke les règles ?
/etc/audit/rules.d/audit.rules
Quel est le nom de l'outil Linux standard que l'on peut utiliser pour faire des requêtes au serveur de gestion Wazuh ?
boucle
Quelle méthode HTTP utiliserions-nous pour récupérer des informations pour une API de serveur de gestion Wazuh ?
OBTENIR
Quelle méthode HTTP utiliserions-nous pour effectuer une action sur une API du serveur de gestion Wazuh ?
METTRE
Utilisez la console API pour trouver la version du serveur Wazuh.
Remarque : vous devrez ajouter le « v" préfixe au numéro de cette réponse. Par exemple v1.2.3
v4.2.5
Analysez le rapport. Quel est le nom de l'agent qui a généré le plus d'alertes ?
agent-001
Présentation vidéo | EssayezHackMe Wazuh
Réponses de la salle | Règles d'alerte personnalisées TryHackMe dans Wazuh
En regardant le journal Sysmon, quelle sera la valeur de sysmon.commandLine ?
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe\" \"-file\" \"C:\Users\Alberto\Desktop\test.ps1\
Quelle serait la valeur extraite si l’expression régulière est définie sur « Utilisateur : \S* » ?
WIN-P57C9KN929H\Alberto
D’après les résultats du test d’ensemble de règles, quelle est la ID de la règle 184666 ?
T1055
D’après la documentation Wazuh, quelle est la description de la règle avec un niveau de classification de 12 ?
Événement de grande importance
Dans la page Test de l'ensemble de règles, remplacez la valeur de « sysmon.image » par « taskhost.exe » et appuyez à nouveau sur le bouton « Test ». Quel est l’ID de la règle qui sera déclenchée ?
184736
Dans le fichier sysmon_rules.xml, quel est l'ID de règle du parent de 184717 ?
184716
Quel est le nom du champ regex utilisé dans le fichier local_rules.xml ?
audit.cwd
En regardant le journal, quel est le répertoire de travail actuel (cwd) à partir duquel la commande a été exécutée ?
/var/log/audit
Si le nom de fichier dans les journaux est « test.php », quel ID de règle sera déclenché ?
100003
Si le nom de fichier dans les journaux est « malware-checker.sh », quel est le niveau de classification des règles dans l'alerte générée ?
12
Présentation vidéo | Règles d'alerte personnalisées TryhackMe dans Wazuh
