Pré-requis
Il existe plusieurs moyens de déployer l'agent Wazuh sur les terminaux. Après avoir installé correctement le wazuh-dashboard, le wazuh-manager et le wazuh-indexer, les agents peuvent maintenant être installés depuis le dashboard. Suivez le lien ici pour l'installation de Wazuh.
Une fois connecté au dashboard, appuyer sur "Add agent" pour ajouter un nouvel agent.
Il existe trois types de systèmes supportés par Wazuh : Linux, Windows et macOS. Notez que pour installer Wazuh, le système Linux doit être une version 64 bits, conformément à la documentation Wazuh.
Choisir le type de système.
Entrer l'adresse IP du serveur
Copier, coller et ensuite exécuter le script généré dans l'invite de commandes en tant qu'administrateur.
Démarrer ensuite l'agent avec la commande :
NET START
WazuhSvc si votre système est un Windows ou ,
sudo systemctl daemon-reload sudo systemctl enable wazuh-agent sudo systemctl start wazuh-agent
si il s'agit d'un système Linux.
Voici un apercu du tableau de bord avec des agents installés.
Avec quelques agents installés, vous pouvez désormais surveiller les événements de sécurité sur vos terminaux.
Wazuh peut réagir face à des situations comme le blocage d’un acteur malveillant connu, la surveillance de l’intégrité des fichiers, la détection de répétées de connexion échouées, l’analyse des comportements anormaux sur le réseau, et la réponse automatisée aux incidents de sécurité.
La prochaine étape est la mise en place des règles et des scripts pour détecter les alertes et incidents avec Wazuh. Un article concernant la configurations des alertes est disponible ici.