makeITsimple wiki

Outils pour utilisateurs

Outils du site

Piste : wazuh hugepage
linux:wazuh

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
linux:wazuh [2024/04/03 06:07] – créée rootlinux:wazuh [2026/06/25 13:30] (Version actuelle) root
Ligne 1: Ligne 1:
 ====== Installation de wazuh ====== ====== Installation de wazuh ======
 ===== installation server ===== ===== installation server =====
-- ouvrir le terminal +==== Install ==== 
-- entrer <code bash>curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a</code>+  - ouvrir le terminal 
 +  - entrer <code bash>curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh && sudo bash ./wazuh-install.sh -a</code>
    
 le logiciel va automatiquement installer indexer, server et dashboard le logiciel va automatiquement installer indexer, server et dashboard
 Le mot de passe administrateur sera donner a la fin de l'isntallation, `n'oubliez pas de le noter` Le mot de passe administrateur sera donner a la fin de l'isntallation, `n'oubliez pas de le noter`
 +
 +==== Configuration email ====
 +
 +  - Modifier le fichier /var/ossec/etc/ossec.conf <code xml><ossec_config>
 +  <global>
 +    <email_notification>yes</email_notification>
 +    <smtp_server>localhost</smtp_server>
 +    <email_from>wazuh@votredomaine.com</email_from>
 +    <email_to>destinataire@votredomaine.com</email_to>
 +    <email_maxperhour>12</email_maxperhour>
 +  </global>
 +</ossec_config></code>
 +  - Modifier le seuil d'alertes dans le même fichier <code xml><ossec_config>
 +  <alerts>
 +    <email_alert_level>10</email_alert_level>
 +  </alerts>
 +</ossec_config></code>
 +===== Usage =====
 +
 +==== Vue Theats ====
 +
 +Voici des champs intéressants à activer:
 +data.win.eventdata.targetUserName, data.win.eventdata.subStatus, data.win.system.systemTime. 
 +
 +Windows: type d'échec (0xC0000064 = user inconnu, 0xC000006A = mauvais mot de passe).
 +
  
 ===== installation agent ===== ===== installation agent =====
 ==== agent windows ==== ==== agent windows ====
  
-1. telecharge le .msi sur _https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.3-1.msi_ +  - telecharge le .msi sur https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.3-1.msi 
-2. ouvrir powershell en tant que administrateur et coller +  ouvrir powershell en tant que administrateur et coller 
-```sh +  <code bash>./wazuh-agent-4.7.3-1.msi /q WAZUH_MANAGER='addresse.ip.du.server' WAZUH_AGENT_NAME='CHANGE_MOI' WAZUH_REGISTRATION_SERVER='addresse.ip.du.server' 
-_./wazuh-agent-4.7.3-1.msi /q WAZUH_MANAGER='addresse.ip.du.server' WAZUH_AGENT_NAME='CHANGE_MOI' WAZUH_REGISTRATION_SERVER='addresse.ip.du.server'_ +</code> 
-``` +  puis pour demarrer le service  
-4. puis pour demarrer le service  +  <code powershell> 
-```sh + NET START Wazuh_ 
-_NET START Wazuh_ +  </code>
-```+
  
 ==== agent linux ==== ==== agent linux ====
-###### 1.installation 
  
-1. ouvrir le terminal +  - <code bash>wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.3-1_amd64.deb && sudo WAZUH_MANAGER='addresse.ip.du.server' WAZUH_AGENT_NAME='CHANGE_MOI' dpkg -i ./wazuh-agent_4.7.3-1_amd64.deb_</code> 
-2. installer avec  +  demarrer l'agent avec: <code bash>sudo systemctl daemon-reload
-```sh +
-_wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.3-1_amd64.deb && sudo WAZUH_MANAGER='addresse.ip.du.server' WAZUH_AGENT_NAME='CHANGE_MOI' dpkg -i ./wazuh-agent_4.7.3-1_amd64.deb_ +
-``` +
-3. demarrer l'agent avec +
-```sh +
-_sudo systemctl daemon-reload+
 sudo systemctl enable wazuh-agent sudo systemctl enable wazuh-agent
-sudo systemctl start wazuh-agent_ +sudo systemctl start wazuh-agent</code>
-``` +
- +
  
-pour plus d'information et d'option d'installationsuivez la documentation sur le site officielle+==== Certificat SSL pour le dashboard ==== 
-https://documentation.wazuh.com/current/index.html+Pour ajouter un certificat ssl 
 +  - Copier les fichiers (clécertificat, certificat CA) dans /etc/wazuh-dashboard/certs 
 +  - Modifier les droits <code bash>chmod 500 /etc/wazuh-dashboard/certs 
 +chmod 400 /etc/wazuh-dashboard/certs/
 +chown -R wazuh-dashboard:wazuh-dashboard /etc/wazuh-dashboard/certs</code> 
 +  - Editer le fichier de configuration <code bash>nano /etc/wazuh-dashboard/opensearch_dashboards.yml</code> Et rajouter ceci: <file - opensearch_dashboards.yml>opensearch.ssl.verificationModenone 
 +server.ssl.enabledtrue 
 +server.ssl.key: "/etc/wazuh-dashboard/certs/srv-sec1.company.lan.pem" 
 +server.ssl.certificate: "/etc/wazuh-dashboard/certs/srv-sec1.company.lan.crt" 
 +opensearch.ssl.certificateAuthorities: ["/etc/wazuh-dashboard/certs/company-ca.crt"]</file>
linux/wazuh.1712124467.txt.gz · Dernière modification : de root