Déploiement d’une solution SIEM avec Wazuh

Objectif du projet

Dans le cadre d’un projet de groupe, nous avons déployé une solution SIEM-XDR basée sur Wazuh afin de centraliser et analyser les événements de sécurité d’une infrastructure composée de plusieurs machines virtuelles.

L’objectif était de comprendre l’intérêt d’un SIEM, de déployer la solution Wazuh et ses agents, d’identifier les vulnérabilités présentes sur les serveurs supervisés, d’analyser les menaces détectées puis d’automatiser certaines réponses à des attaques, notamment dans le cas d’une attaque par force brute.

Ce projet m’a permis de travailler sur la détection, l’analyse et la remédiation d’incidents de sécurité, tout en manipulant une architecture multi-machines intégrant un serveur Wazuh, un serveur Windows avec Active Directory, un serveur Debian avec service DHCP, ainsi qu’une machine Kali utilisée pour simuler des attaques.

Architecture du projet

L’infrastructure reposait sur plusieurs machines virtuelles : uNE vm SIEM pour héberger Wazuh et la machine Kali, ainsi qu’un VLAN client pour les postes utilisateurs et une vm contenant l'AD.

Le serveur Windows Active Directory et le serveur Debian DHCP étaient supervisés par Wazuh grâce aux agents installés sur les endpoints. La machine Kali permettait de générer des attaques simulées afin d’observer les alertes, les événements de sécurité et les mécanismes de réponse active.

Étapes du projet

• Analyse du besoin : compréhension du rôle d’un SIEM et d’un XDR, identification des enjeux de détection des menaces, de centralisation des événements et de réponse aux incidents.
• Étude de l’architecture Wazuh : découverte des composants principaux de la solution, notamment le serveur Wazuh, l’indexeur, le tableau de bord et les agents installés sur les machines supervisées.
• Préparation de l’environnement : mise en place de l’infrastructure virtualisée avec les différentes machines nécessaires : serveur Wazuh, serveur Windows Active Directory, serveur Debian DHCP et machine Kali Linux.
• Installation de Wazuh : déploiement de la solution sur un serveur Linux, installation des composants centraux et vérification de l’accès au tableau de bord d’administration.
• Déploiement des agents : installation des agents Wazuh sur les serveurs supervisés, création éventuelle d’un groupe d’agents et vérification de leur remontée dans l’interface de supervision.
• Évaluation des configurations : utilisation du module SCA (Security Configuration Assessment) afin d’analyser le niveau de sécurité des configurations des serveurs, repérer les contrôles en échec et identifier des vulnérabilités à corriger.
• Simulation d’attaque : réalisation d’une attaque par force brute SSH depuis Kali Linux vers le serveur Debian afin de générer des événements exploitables dans Wazuh.
• Tests et validation : vérification de la détection de l’attaque, de la création des alertes, de l’efficacité du blocage temporaire et du bon fonctionnement global de la solution.

Compétences développées

• Déploiement d’une solution de cybersécurité : ce projet m’a permis d’installer et configurer une plateforme SIEM moderne pour la centralisation et l’analyse des événements de sécurité.
• Administration système Linux : j’ai renforcé mes compétences dans l’installation, la configuration et la gestion de services sur un serveur Linux dédié à la sécurité.
• Supervision et collecte d’événements : j’ai appris à superviser plusieurs machines, centraliser leurs journaux et exploiter les informations remontées par les agents Wazuh.
• Analyse de vulnérabilités : l’utilisation du module SCA m’a permis d’identifier des erreurs de configuration, d’interpréter les résultats de sécurité et de mieux comprendre la posture de sécurité d’un système.
• Détection des menaces : j’ai développé ma capacité à analyser les alertes, interpréter les événements de sécurité et identifier des comportements anormaux ou malveillants.
• Travail en environnement virtualisé : ce projet m’a amenée à manipuler plusieurs machines virtuelles et à comprendre les échanges entre différents systèmes au sein d’une architecture segmentée.
• Tests et validation : j’ai appris à valider une solution de sécurité par la simulation d’attaques, l’observation des alertes et la vérification de l’efficacité des mécanismes de protection.
• Gestion de projet technique : ce projet m’a permis de suivre une démarche structurée, allant de l’analyse du besoin jusqu’à la mise en œuvre, aux tests et à l’interprétation des résultats.