logo-removebg-preview
contact

wazuh

Sécuriser votre réseau

 

Wazuh est SIEM. Security Information and Event Management

Les deux solutions sont complémentaires et opèrent sur des couches différentes :

Fortinet couvre le périmètre : le FortiGate filtre et inspecte le trafic entrant/sortant (pare-feu, IPS, VPN), FortiAnalyzer centralise les logs et fournit un SIEM réseau, et FortiManager orchestre la configuration de tout le parc d’appliances.

Wazuh couvre l’intérieur : des agents légers déployés sur chaque endpoint (Linux, Windows, conteneurs) remontent les événements au serveur central — surveillance de l’intégrité des fichiers (FIM), détection de rootkits, audit de configuration — le tout visualisable via OpenSearch/Kibana, avec des modules de conformité (PCI-DSS, HIPAA, GDPR…).

Le point d’intégration clé est la remontée de logs de FortiGate vers Wazuh via syslog ou l’API : cela permet à Wazuh de corréler les événements réseau (Fortinet) avec les événements endpoint (agents), offrant une vue bout-en-bout des incidents.




L’installation de Wazuh permet de mettre en place une plateforme centralisée de supervision et de cybersécurité pour le système d’information.

Objectifs et bénéfices principaux

  • Surveiller l’infrastructure en temps réel
    Collecte et analyse continue des journaux système, applications, équipements réseau et endpoints afin d’identifier rapidement les anomalies et activités suspectes.

  • Détecter les incidents de sécurité
    Détection des intrusions, comportements anormaux, malwares, modifications non autorisées et vulnérabilités grâce aux règles de corrélation et aux mécanismes SIEM/XDR intégrés.

  • Centraliser les événements
    Agrégation des logs et événements de sécurité provenant de l’ensemble des serveurs, postes clients, équipements réseau et applications dans une console unique.

  • Accélérer l’investigation
    Recherche et corrélation simplifiées des événements pour analyser plus rapidement les incidents, identifier leur origine et réduire le temps de réponse.

  • Automatiser la réponse aux menaces
    Mise en œuvre d’alertes et d’actions automatiques : blocage d’adresses IP, isolation d’hôtes, notifications ou exécution de scripts de remédiation.

  • Améliorer la visibilité globale du système d’information
    Vision centralisée de l’état de sécurité de l’infrastructure avec tableaux de bord, indicateurs de conformité et suivi des risques.

Architecture typique de déploiement

Une infrastructure Wazuh comprend généralement :

  • Wazuh Server : moteur d’analyse et de corrélation des événements.

  • Wazuh Agents : installés sur les serveurs et postes à superviser.

  • Indexer : stockage et indexation des données.

  • Dashboard : interface web de visualisation et d’administration.

Cas d’usage courants

  • Supervision des serveurs Linux/Windows

  • Détection d’intrusion (HIDS)

  • Surveillance des accès et authentifications

  • Contrôle d’intégrité des fichiers

  • Gestion des vulnérabilités

  • Conformité réglementaire (ISO 27001, PCI-DSS, RGPD)

  • Centralisation des logs de sécurité

 

Voici les 10 grandes fonctionnalités de Wazuh, bien adaptées aux besoins des entreprises.

1️⃣ Détection d’intrusions (HIDS)

  • Surveille les systèmes (Linux, Windows, macOS) pour détecter les comportements suspects ou attaques sur les endpoints.

  • Alertes en temps réel sur toute activité anormale.

2️⃣ Analyse et corrélation des logs

  • Centralise les logs de serveurs, applications, pare-feu, bases de données, etc.

  • Permet de corréler les événements pour identifier des attaques complexes ou des comportements suspects.

3️⃣ Surveillance de l’intégrité des fichiers

  • Vérifie que les fichiers critiques n’ont pas été modifiés ou supprimés.

  • Utile pour détecter les ransomwares ou les altérations de fichiers sensibles.

4️⃣ Gestion de la configuration et des vulnérabilités

  • Vérifie les configurations des systèmes contre des standards sécuritaires.

  • Détecte les vulnérabilités connues (CVE) pour agir avant que les attaquants ne les exploitent.

5️⃣ Détection des malwares

  • Analyse les fichiers et les événements pour identifier les malwares connus.

  • Peut être intégré avec des outils antivirus ou de threat intelligence.

6️⃣ Surveillance de la sécurité réseau

  • Collecte et analyse les flux réseau et les logs de firewall pour détecter des comportements suspects ou anomalies dans le trafic.

7️⃣ Gestion des alertes et notifications

  • Génère des alertes en temps réel pour le SOC (Security Operations Center) ou les administrateurs.

  • Possibilité d’intégration avec Slack, email, SIEM, ou outils ITSM.

8️⃣ Conformité et audit

  • Aide à respecter des standards réglementaires comme PCI DSS, GDPR, HIPAA, ISO 27001.

  • Fournit des rapports détaillés pour les audits internes ou externes.

9️⃣ Surveillance des endpoints cloud et containers

  • Permet de surveiller les environnements cloud (AWS, Azure, GCP) et les containers (Docker, Kubernetes).

  • Identifie les anomalies dans les instances cloud et conteneurs.

🔟 Intégration SIEM et API

  • S’intègre avec Elastic Stack (ELK) pour visualisation et recherche avancée des logs.

  • Peut se connecter à d’autres outils SIEM ou SOC pour centraliser la sécurité et automatiser les réponses.

SOGESTI Expert Cloud et Sécurité

Offre Technique – Mise en place de Wazuh

Société proposant l’offre : SOGESTI
Client : [Nom du client]
Date : [Date]
Référence : [Référence de l’offre]

1. Contexte et objectifs

Dans un contexte où la sécurité des systèmes d’information est un enjeu stratégique, [Nom du client] souhaite mettre en place une solution de gestion de la sécurité et de la conformité capable de :

  • Surveiller en temps réel l’ensemble des systèmes et applications.
  • Détecter les incidents de sécurité (intrusions, anomalies, vulnérabilités).
  • Centraliser les logs et les événements critiques pour faciliter l’audit et la conformité.

SOGESTI propose la mise en œuvre de Wazuh, une solution open source de sécurité et de détection d’intrusion, robuste et évolutive, permettant de répondre à ces besoins.

2. Description de la solution proposée

Wazuh est une plateforme de SIEM et de détection d’intrusion qui assure :

  • Collecte centralisée des logs depuis les serveurs, postes de travail et applications.
  • Analyse en temps réel des événements de sécurité pour identifier les anomalies.
  • Gestion des vulnérabilités pour corriger les failles détectées sur les systèmes.
  • Surveillance de l’intégrité des fichiers et alertes en cas de modification suspecte.
  • Reporting et tableaux de bord pour suivre les incidents et les indicateurs de sécurité.

Architecture proposée

  1. Serveur Wazuh Manager : cœur de la solution, responsable de la collecte et de l’analyse des événements.
  2. Agents Wazuh : installés sur les postes et serveurs pour remonter les logs et surveiller les fichiers.
  3. Serveur Elasticsearch : moteur de stockage et de recherche des événements.
  4. Kibana/Wazuh Dashboard : interface web pour visualisation, reporting et gestion des alertes.

Cette architecture est scalable, sécurisée et adaptée aux besoins de [Nom du client], permettant d’intégrer de nouveaux systèmes à tout moment.

3. Services proposés par SOGESTI

SOGETSI  assure une mise en œuvre complète de Wazuh, comprenant :

3.1. Étude et conception

  • Analyse du parc informatique et des besoins en sécurité.
  • Définition de l’architecture technique et dimensionnement des serveurs.
  • Élaboration du plan de déploiement et de sécurité.

3.2. Déploiement et configuration

  • Installation du serveur Wazuh Manager et des composants associés.
  • Déploiement des agents sur les serveurs et postes clients.
  • Configuration des règles de détection et des alertes selon les besoins.
  • Intégration avec les systèmes existants (Active Directory, bases de données, applications critiques).

3.3. Tests et validation

  • Vérification de la collecte des logs et de la détection des événements.
  • Simulation d’incidents pour valider la réactivité de la solution.
  • Ajustement des règles et des seuils d’alerte.

3.4. Formation et transfert de compétences

  • Formation des équipes IT à l’administration de Wazuh et à l’interprétation des alertes.
  • Documentation complète des procédures de gestion et d’alerte.

3.5. Support et maintenance

  • Assistance technique durant la période de garantie.
  • Proposition de support évolutif pour les mises à jour et l’optimisation de la solution.

4. Planning prévisionnel

PhaseDurée estimée
Étude et conception2 semaines
Installation et configuration3 semaines
Tests et validation1 semaine
Formation2 jours
Support initial1 mois après mise en production

5. Valeur ajoutée de SOGESTI

  • Expertise reconnue dans le domaine de la cybersécurité et du déploiement de solutions open source.
  • Capacité à adapter Wazuh aux besoins spécifiques du client.
  • Approche complète incluant audit, déploiement, formation et support.
  • Solution évolutive permettant de s’adapter à la croissance et aux nouvelles menaces.

6. Conclusion

La mise en place de Wazuh par SOGESTI  permettra à [Nom du client] de :

  • Renforcer significativement la sécurité de ses systèmes et applications.
  • Centraliser et analyser les logs pour faciliter les audits et la conformité.
  • Détecter rapidement les incidents et agir de manière proactive.

SOGETSI s’engage à fournir une solution fiable, sécurisée et opérationnelle, avec un accompagnement complet jusqu’à la maîtrise totale par les équipes du client.

PhaseDurée estimée
Étude et conception2 semaines
Installation et configuration3 semaines
Tests et validation1 semaine
Formation2 jours
Support initial1 mois après mise en production
Poste / ActivitéUnitéQuantitéTarif unitaire (€)Total (€)
Étude et conceptionjour10  
Installation et configuration Wazuhjour15  
Tests et validationjour5  
Formation des équipesjour2  
Support initial (1 mois)forfait1  
Sous-total prestation    
Matériel et licences (serveurs, stockage, options Wazuh)forfait1  
Total général estimatif    

 

         Pour interconnecter Fortinet (FortiGate) avec Wazuh, le principe est simple :

FortiGate envoie ses logs en Syslog vers Wazuh, qui les analyse, corrèle et génère des alertes SOC. Security Operations Center

 

Rôle d’un SOC

Le SOC surveille en permanence :

  • les firewalls,
  • les serveurs,
  • les postes utilisateurs,
  • les VPN,
  • les emails,
  • les événements réseau,
  • les tentatives d’attaque.

L’objectif est de :

  • détecter les menaces,
  • analyser les incidents,
  • répondre rapidement aux attaques,
  • limiter les impacts.



Nous joindre pour avoir le prix de la mise en place : info@sogesti.ch

SOGESTI est un revendeur agrée de Fortinet.