« LINUX:Wazuh-Actions préventives » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
Ligne 16 : | Ligne 16 : | ||
=[[LINUX:Wazuh-SYSCOLLECTOR|SYSCOLLECTOR]]= | =[[LINUX:Wazuh-SYSCOLLECTOR|SYSCOLLECTOR]]= | ||
Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module VULNERABILITY-DETECTOR. | Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux, les processus. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module VULNERABILITY-DETECTOR. | ||
Version du 24 novembre 2022 à 12:34
But
Jusqu'ici nous avons traité de l'aspect des actions immédiates à toute attaque. Wazuh dispose de divers autres modules ayant une action préventive. Ils tentent de repérer des problèmes potentiels de sécurité afin que nous puissions combler ces trous de sécurité.
ROOTCHECK
Le module ROOTCHECK a pour tâche de repérer divers malwares. Il joue un rôle semblable au logiciel "Rkhunter" vu dans un autre article.
SCA
Ce module a pour but d'analyser la configuration du système et de divers services au terme duquel un rapport est généré. Il se base sur des fichiers de contrôles en se basant sur diverses règles. On peut en créer soi-même mais quelques uns sont fournis pour divers systèmes ou logiciels phares. Il joue un rôle semblable au logiciel "Lynis" vu dans un autre article.
SYSCOLLECTOR
Ce module récolte les informations globales du système comme les logiciels installés, le matériel présent, les interfaces réseaux, les ports réseaux, les processus. Il est actif sur tous les agents local et distants. Ces informations sont centralisées auprès de la machine manager. Elles y seront analysées par le module VULNERABILITY-DETECTOR.
VULNERABILITY-DETECTOR
Sur la machine manager, les informations récoltées récoltées et reçues par le module SYSCOLLECTOR, sont analysées afin d'y repérer des risques d'attaques.
OSQUERY
Ce module est désactivé par défaut sur le manager et sur les agents distants. Il fait appel à un logiciel tiers.
Voici la configuration du manager dans le fichier "/var/ossec/etc/ossec.conf" et du fichier "/var/ossec/etc/shared/default/agent.conf" transmis aux agents distants:
<wodle name="osquery"> <disabled>yes</disabled> </wodle>
CIS-CAT
Ce module est désactivé par défaut sur le manager et sur les agents distants. Il fait appel à un logiciel propriétaire tiers.
Voici la configuration du manager dans le fichier "/var/ossec/etc/ossec.conf" et du fichier "/var/ossec/etc/shared/default/agent.conf" transmis aux agents distants:
<wodle name="cis-cat"> <disabled>yes</disabled> </wodle>