Voici les fonctionnalités que nous vous proposons.
1. Intégration VirusTotal Wazuh peut envoyer automatiquement le hash MD5/SHA256 de tout nouveau fichier à l’API VirusTotal. Si le fichier est reconnu comme malveillant, une alerte critique est générée immédiatement.
2. File Integrity Monitoring (FIM) C’est l’un des outils les plus puissants contre les ransomwares : Wazuh surveille en permanence des répertoires critiques (Documents, Desktop, AppData…). Toute modification massive de fichiers — comme le chiffrement en masse — déclenche une alerte à forte priorité.
3. Règles basées sur MITRE ATT&CK Wazuh intègre nativement les techniques MITRE. Il reconnaît des patterns typiques des ransomwares : exécution de vssadmin pour supprimer les sauvegardes, chiffrement via processus inconnu, ou désactivation du pare-feu Windows.
4. Active Response (réponse automatique) Quand une règle se déclenche, Wazuh peut exécuter un script automatiquement : isoler la machine du réseau, tuer le processus malveillant, ou bloquer une IP. C’est configurable dans ossec.conf.
5. Analyse des logs Wazuh agrège les logs de Windows Event Viewer, syslog Linux, les antivirus, EDR (comme CrowdStrike ou Defender), et corrèle les événements pour détecter des comportements anormaux.
6. Détection de vulnérabilités (CVE) Wazuh fait un inventaire des logiciels installés et les compare à la base NVD. Il signale les versions vulnérables qui pourraient être exploitées pour déposer un malware.
- Détecter un compte email compromis qui envoie du spam en masse (logs Exchange/Postfix anormaux)
- Alerter sur des connexions SMTP suspectes (volume, IP blacklistée)
- Détecter du phishing qui a abouti — si un utilisateur a cliqué et qu’un malware s’est exécuté, Wazuh le verra via FIM ou Sysmon
- Corréler une IP source de spam avec d’autres alertes sur le réseau
Pour toute commande, merci de contacter info@ sogesti.ch