Solution EDR avec Wazuh

Contexte et Problématique

Dans le cadre de ma formation BTS SIO option SISR, j'ai réalisé ce projet pour approfondir mes compétences en cybersécurité et comprendre le fonctionnement d'une solution EDR/SIEM moderne.

Objectifs du projet :

• Déployer une solution EDR open-source dans un environnement de test
• Configurer le monitoring de serveurs et postes de travail
• Apprendre à détecter les comportements suspects
• Maîtriser la centralisation des logs de sécurité
• Créer des règles de détection personnalisées

Architecture et Technologies

Architecture déployée :

• Serveur Wazuh Manager : VM Ubuntu 22.04 (8 vCPU, 16 GB RAM)
• Agents Wazuh : Déployés sur environnement de test (Windows/Linux)
• Stack ELK : Elasticsearch + Kibana pour l'analyse
• Environnement : Laboratoire virtuel de formation

Mise en Œuvre Technique

1. Installation du Serveur Wazuh

• Déploiement d'une VM Ubuntu Server 22.04 LTS
• Installation de Wazuh Manager via script automatisé
• Configuration de la stack Elasticsearch + Kibana
• Sécurisation avec certificats SSL/TLS
• Configuration du pare-feu et des règles iptables

2. Déploiement des Agents

• Création de packages MSI pour Windows
• Déploiement via GPO sur les postes Windows
• Installation manuelle sur les serveurs Linux
• Configuration de la communication chiffrée (AES-256)
• Vérification de l'enregistrement des agents

3. Configuration des Règles de Détection

• Activation des modules : FIM, Rootcheck, Vulnerability Detection
• Configuration de l'intégrité des fichiers (FIM) sur les répertoires critiques
• Détection des tentatives de brute-force SSH/RDP
• Alertes sur les modifications de comptes privilégiés
• Surveillance des installations de logiciels non autorisés
• Détection des vulnérabilités CVE

4. Tableaux de Bord et Alerting

• Création de dashboards Kibana personnalisés
• Configuration des alertes email pour les incidents critiques
• Intégration avec Microsoft Teams pour les notifications
• Rapports automatiques hebdomadaires

Cas d'Usage et Détections

Incidents détectés et traités :

• Tentative de brute-force : 15 tentatives de connexion RDP bloquées
• Malware détecté : Trojan.Generic identifié sur un poste utilisateur
• Modification suspecte : Changement non autorisé dans le registre Windows
• Vulnérabilité critique : CVE-2024-XXXX détectée sur 12 serveurs
• Élévation de privilèges : Tentative d'accès administrateur non autorisé

Résultats et Impact

• Visibilité totale : Monitoring 24/7 de l'infrastructure complète
• Détection rapide : Réduction de 80% du temps de détection des incidents
• Conformité : Respect des exigences RGPD et NIS2
• Prévention : Identification proactive de 35 vulnérabilités
• Économies : Solution open-source vs EDR commercial (économie de 50K€/an)
• Formation : Montée en compétences de l'équipe IT sur la cybersécurité

Compétences Développées

• Déploiement et administration Wazuh EDR/SIEM
• Configuration Elasticsearch et Kibana
• Analyse de logs et corrélation d'événements
• Détection et réponse aux incidents (DFIR)
• Scripting Bash pour l'automatisation
• Gestion des vulnérabilités (CVE)
• Création de règles de détection personnalisées
• Reporting et communication des incidents

Défis et Solutions

Défi 1 : Faux positifs trop nombreux lors du déploiement initial

Solution : Affinage des règles de détection, création de listes blanches pour les processus légitimes

Défi 2 : Performance dégradée sur les postes avec agents

Solution : Optimisation de la fréquence de scan, exclusion de certains répertoires non critiques

Défi 3 : Résistance au changement des utilisateurs

Solution : Campagne de sensibilisation, démonstration des bénéfices en termes de sécurité

Évolutions Futures

• Intégration avec un SOAR pour l'automatisation des réponses
• Mise en place de threat intelligence feeds
• Déploiement d'agents sur les équipements réseau (switches, routeurs)
• Formation d'une équipe SOC interne
• Corrélation avec les logs du pare-feu Fortinet