Wazuh

Description

L'EDR Open Source Wazuh peut être déployé dans un lab. Actuellement, l'agent peut communiquer avec le tableau de bord de Wazuh intégré dans le lab.

Configuration

La configuration de Wazuh dans M&NTIS contient les règles d'alerte par défaut.

Activation

Pour activer Wazuh, il suffit d'activer les deux :

• l'agent Wazuh
• le manager Wazuh

Utilisation

Une fois le lab démarré, vous pouvez accéder au manager Wazuh en cliquant sur l'onglet Topology. Ensuite, vous devez copier l'adresse IP du nœud wazuhmanager. Cette adresse IP peut être différente d'un lab à l'autre.

Une fois l'IP copiée, naviguez vers l'onglet Interactive View. Vous devez alors vous connecter à une machine cliente en tant qu'utilisateur normal.

Ensuite, vous pouvez ouvrir un navigateur web, et vous connecter au manager wazuh distant en utilisant le protocole HTTPS. Vous pouvez récupérer l'IP du manager wazuh à partir de l'onglet Topology.

Vous devez accepter l'alerte de sécurité concernant le certificat. Wazuh devrait maintenant se charger :

Vous pouvez vous connecter au manager Wazuh en utilisant les identifiants :code:admin:admin.

Sur la page d'accueil, vous pouvez vérifier quels agents Wazuh sont enregistrés auprès du manager. Pour afficher les événements de sécurité, cliquez sur l'onglet "Home" :

et cliquez sur Security Events dans le bloc de gauche de la page :

Les événements de sécurité sont alors listés :