TL;DR
Wazuh est une plateforme open source de sécurité utilisée pour centraliser des événements, détecter des comportements suspects, suivre la conformité et investiguer des incidents. Dans cet épisode, le sujet central est: Integration of Suricata (IDS). L objectif est de relier la démonstration du dépôt Xavki à une compréhension exploitable en contexte SIEM/XDR.
La vidéo de référence
Vidéo: https://www.youtube.com/watch?v=6ebcUrkfcgc
Playlist complète: https://www.youtube.com/playlist?list=PLn6POgpklwWoCKf3PDJYT2ihAd0hPZ0uM
Le dépôt support est disponible ici: https://gitlab.com/xavki/tutorials-wazuh. Le support de ce chapitre se trouve dans 09-IDS-integration-suricata/slides.md.
Wazuh et Integration of Suricata (IDS): c est quoi exactement ?
Suricata analyse le trafic réseau et écrit des événements, souvent dans eve.json. Wazuh collecte ce fichier JSON via un agent, applique décodage/règles et permet de suivre les alertes réseau dans la même interface que les événements endpoint.
Le vrai sujet de ce chapitre est de intégrer un IDS réseau Suricata avec Wazuh pour corréler événements endpoint et signaux réseau. Le dépôt Xavki sert de colonne vertébrale factuelle: il expose les slides, commandes et fichiers utilisés pendant les démonstrations. La documentation Wazuh complète ensuite le contexte officiel: architecture, installation, agents, règles, intégrations et capacités.
Points clés vus dans le support Xavki
- deep packet inspection
- IDS (Intrusion Detection System)
- GUI = Sirius
- ANSSI evaluation : https://cyber.gouv.fr/produits-certifies/suricata-version-608
- add some rules
- edit suricata settings /etc/suricata/suricata.yaml
- restart suricata
- add local file in wazuh-agent /var/ossec/etc/ossec.conf
- test with ping
- with nmap script
Ces points doivent être lus comme une progression: d abord comprendre le signal collecté, ensuite vérifier la collecte, puis seulement interpréter l alerte dans Wazuh.
Modèle mental minimal
Un flux Wazuh se résume ainsi: endpoint -> agent -> Wazuh server -> rules/decoders -> indexer -> dashboard. Si une alerte manque, il faut diagnostiquer cette chaîne dans l ordre. Si une alerte existe mais n est pas utile, le problème vient souvent du bruit, du contexte ou du seuil de règle.
Notions et définitions sécurité
- **SIEM**: Security Information and Event Management. Un SIEM centralise des journaux, applique des règles de corrélation et aide les équipes sécurité à investiguer des événements. Wazuh couvre ce rôle en collectant, normalisant, stockant et affichant des alertes.
- **XDR**: Extended Detection and Response. Un XDR élargit la détection au-delà du simple log management: endpoints, comportements, réponse active, cloud, conteneurs et menaces. Dans Wazuh, cette dimension apparaît avec les agents, les capacités endpoint, la conformité et les intégrations.
- **Agent**: Composant installé sur une machine surveillée. Il collecte des logs, fichiers, événements système, inventaires, métriques ou signaux de sécurité, puis les transmet au serveur Wazuh.
- **Decoder**: Un decoder transforme un événement brut en champs compréhensibles: source IP, utilisateur, programme, message, code, chemin de fichier. Sans décodage correct, une règle peut ne jamais se déclencher.
- **Rule**: Une règle Wazuh évalue un événement décodé et produit éventuellement une alerte avec un niveau, des groupes, une description et des métadonnées. Les règles sont le cœur de la détection.
- **Faux positif**: Alerte techniquement déclenchée mais non pertinente dans le contexte. Un outil de sécurité utile doit gérer les faux positifs avec du tuning, des exceptions documentées et des seuils adaptés.
- **Indicateur de compromission**: Un IOC est un signal qui peut indiquer une activité malveillante: IP, hash, domaine, chemin, comportement, signature IDS ou motif dans un log. Il doit toujours être interprété avec du contexte.
- **IDS**: Intrusion Detection System. Un IDS observe le trafic ou les événements pour détecter des comportements suspects. Suricata est un IDS réseau qui produit des événements que Wazuh peut collecter.
- **DPI**: Deep Packet Inspection. Analyse du contenu réseau au-delà des simples adresses et ports. Elle permet de détecter des signatures ou comportements réseau, mais demande un réglage précis pour limiter le bruit.
- **EVE JSON**: Format de sortie JSON de Suricata souvent utilisé pour transmettre les alertes réseau à d autres outils. Wazuh peut collecter ce fichier via un agent et appliquer ses règles.
Ces définitions sont volontairement pratiques. L objectif n est pas de réciter un glossaire, mais de savoir où placer chaque notion dans la chaîne de détection: collecte, décodage, corrélation, alerte, investigation et réponse.
Approfondissement spécifique
Avec Suricata, Wazuh reçoit un signal réseau au lieu d un simple signal endpoint. La donnée importante est souvent dans eve.json: signature, source, destination, protocole, catégorie et sévérité.
L approfondissement consiste à vérifier trois choses: Suricata voit le trafic, Wazuh collecte le fichier JSON, et la règle affichée dans Wazuh correspond au test réseau réellement lancé.
Le dépôt fournit aussi des fichiers concrets pour ce chapitre: 09-IDS-integration-suricata/nmap_scans_results.txt, 09-IDS-integration-suricata/slides.md, 09-IDS-integration-suricata/snort-scan.sh. Ils servent à retrouver les commandes, scripts de test, sorties ou configurations utilisées dans la démonstration.
Ce que cet épisode cherche à modifier
- installer Suricata et choisir l interface réseau
- faire produire eve.json
- faire collecter les alertes IDS par l agent Wazuh
- tester avec ping, nmap ou trafic contrôlé
Chemin de diagnostic recommandé
- installer Suricata et ses règles
- configurer HOME_NET et l interface réseau
- collecter /var/log/suricata/eve.json avec l agent Wazuh
- tester ping, nmap ou scripts de scan contrôlés
- preuve attendue: installer Suricata et choisir l interface réseau
- preuve attendue: faire produire eve.json
- preuve attendue: faire collecter les alertes IDS par l agent Wazuh
Points de vigilance sécurité
- écouter la mauvaise interface réseau
- laisser HOME_NET incohérent
- confondre scan de test et incident réseau réel
Commandes et fichiers du chapitre
sudo add-apt-repository ppa:oisf/suricata-stablesudo apt-get updatesudo apt-get install suricata -ycd /tmp/ && curl -LO https://rules.emergingthreats.net/open/suricata-6.0.8/emerging.rules.tar.gzmkdir -p /etc/suricata/rules/sudo tar -xvzf emerging.rules.tar.gz && sudo mv rules/*.rules /etc/suricata/rules/sudo chmod 640 /etc/suricata/rules/*.rulessudo systemctl restart suricataping -c 100 192.168.12.182echo "Running ping on $target..."ping "$target" -c 5echo -e "\nRunning Nmap scan on $target with scan type: $scan_type..."
Liens utiles
- Dépôt Xavki tutorials-wazuh
- Playlist YouTube Wazuh Xavki
- Documentation officielle Wazuh
- Wazuh Quickstart
- Architecture Wazuh
- Wazuh agents
- Wazuh ruleset, decoders et rules
- Documentation complémentaire Wazuh
- Documentation complémentaire Wazuh
- Documentation complémentaire Wazuh
- 09-IDS-integration-suricata/nmap_scans_results.txt
- 09-IDS-integration-suricata/slides.md
- 09-IDS-integration-suricata/snort-scan.sh
Liens internes conseillés
- Parcours Kubernetes si vous voulez relier Wazuh à la supervision de plateformes conteneurisées.
- Prometheus, Grafana et observabilité pour distinguer métriques, logs et alertes sécurité.
- RabbitMQ sur Kubernetes pour comparer supervision applicative, messaging et signaux de sécurité.
Pour revenir au sujet précédent, consultez Wazuh 008 – Collecte des Docker métriques.
FAQ
Wazuh est-il plutôt un SIEM ou un XDR ?
Wazuh couvre des usages SIEM comme la centralisation, la corrélation et l analyse de logs, mais aussi des usages XDR comme la détection endpoint, la réponse active, la conformité, le FIM, la sécurité conteneur et l intégration de sources externes.
Faut-il installer un agent partout ?
Pas forcément partout dès le début. Il faut prioriser les machines critiques, les serveurs exposés, les bastions, les workloads sensibles et les environnements de test. L agent apporte la visibilité endpoint, mais il faut gérer bruit, charge et configuration.
Pourquoi mes alertes Wazuh ne remontent-elles pas ?
Les causes courantes sont une source de log absente, un agent non connecté, un mauvais chemin dans la configuration, une règle non déclenchée, un filtre dashboard trop restrictif ou un événement qui n est pas décodé comme prévu.
Wazuh remplace-t-il Prometheus ou Grafana ?
Non. Wazuh est orienté sécurité, conformité et détection. Prometheus et Grafana sont orientés métriques, SLO, tableaux de bord techniques et observabilité. Les deux approches se complètent.
Conclusion
Cet épisode 9 ajoute une brique à la compréhension de Wazuh. La bonne méthode consiste à partir du signal brut, vérifier la collecte, lire les règles déclenchées, puis seulement interpréter l alerte dans un contexte de sécurité réel. Le dépôt Xavki donne le lab, la documentation Wazuh donne le cadre officiel, et le deep dive permet de transformer la démonstration en méthode de diagnostic.