SOC/SIEM Expert

Les agents Wazuh capturent les journaux des systèmes d'exploitation et des applications, puis les transmettent de manière sécurisée à un gestionnaire central pour une analyse basée sur des règles prédéfinies. Ces règles permettent de détecter des erreurs systèmes ou applicatives, des mauvaises configurations, des tentatives malveillantes, des violations de politique, ainsi qu'une large gamme de problèmes de sécurité ou de fonctionnement.

Wazuh surveille en continu les systèmes de fichiers en détectant les modifications de contenu, de permissions, de propriété ou d'attributs. Il peut également identifier les utilisateurs et applications ayant initié ces modifications. Cette surveillance, combinée aux renseignements sur les menaces, permet d'identifier les systèmes compromis et contribue au respect des normes de conformité telles que PCI DSS.

Les agents Wazuh extraient les données d'inventaire des logiciels et envoient ces informations au serveur Wazuh. Les données d'inventaire collectées sont ensuite corrélées avec les bases de données CVE (Common Vulnerabilities and Exposure) mises à jour en continu, afin d'identifier les logiciels vulnérables connus. La détection automatisée des vulnérabilités vous permet de repérer les failles dans vos actifs critiques et de prendre des mesures correctives avant que les attaquants ne les exploitent à des fins malveillantes.

Wazuh surveille les paramètres de configuration des systèmes et des applications pour s'assurer de leur conformité avec les politiques de sécurité et les guides de renforcement. Les analyses régulières permettent de détecter des vulnérabilités ou des configurations non sécurisées. Ces contrôles peuvent être personnalisés pour mieux s'adapter aux besoins spécifiques de chaque organisation, avec des alertes contenant des recommandations d'amélioration et des références aux normes de conformité.

Wazuh propose des réponses actives prêtes à l'emploi pour mettre en œuvre diverses contre-mesures face aux menaces en cours. Ces réponses sont déclenchées lorsque certains critères sont remplis et incluent des actions telles que le blocage de l'accès réseau à un point de terminaison depuis la source de la menace, entre autres. De plus, Wazuh peut être utilisé pour exécuter à distance des commandes ou des requêtes système, identifier des indicateurs de compromission (IOCs), et aider à réaliser des tâches de réponse aux incidents.

Wazuh fournit les contrôles nécessaires pour se conformer à diverses normes et réglementations, telles que PCI DSS, NIST, TSC et HIPAA. Son interface web permet de générer des rapports et des tableaux de bord personnalisés, aidant ainsi les organisations à répondre aux exigences techniques et légales en matière de sécurité.

Wazuh crée un inventaire système à jour de tous les points de terminaison surveillés. Cet inventaire comprend des données telles que les applications installées, les processus en cours d'exécution, les ports ouverts, ainsi que des informations sur le matériel et le système d'exploitation, entre autres. La collecte de ces informations aide les organisations à optimiser la visibilité des actifs et à maintenir une bonne hygiène informatique. D'autres fonctionnalités de Wazuh, comme la détection des vulnérabilités, l'évaluation des configurations de sécurité et la détection de logiciels malveillants, contribuent également à protéger les points de terminaison surveillés et à améliorer l'hygiène informatique.

Wazuh offre une visibilité complète sur la sécurité des hôtes et des conteneurs Docker, en surveillant leur comportement pour détecter des menaces, vulnérabilités et anomalies. L'agent Wazuh s'intègre nativement au moteur Docker, permettant aux utilisateurs de surveiller les images, volumes, paramètres réseau, et conteneurs en cours d'exécution. Wazuh collecte et analyse en continu des informations détaillées sur l'exécution. Par exemple, il émet des alertes concernant des conteneurs fonctionnant en mode privilégié, des applications vulnérables, un shell en cours d'exécution dans un conteneur, des modifications des volumes persistants ou des images, ainsi que d'autres menaces potentielles.

Wazuh s'intègre aux plateformes cloud, en collectant et en agrégeant les données de sécurité. Il émet des alertes en cas de risques et de vulnérabilités détectés, garantissant ainsi la sécurité et la conformité aux normes réglementaires.Wazuh assure une surveillance approfondie des infrastructures cloud via des modules d'intégration qui exploitent les données de sécurité des fournisseurs tels qu'Amazon AWS, Microsoft Azure, GCP, Microsoft 365 et GitHub. De plus, il évalue la configuration de ces environnements pour identifier des vulnérabilités potentielles. Les agents Wazuh, légers et multi-plateformes, sont également déployés pour surveiller les instances cloud au niveau des systèmes.