L’objectif de ce « Labo » est de comprendre l’intérêt d’un SIEM-XDR et d’en tester les principaux usages (détecter les vulnérabilités des serveurs, répondre aux menaces).

La solution Wazuh sera étudiée dans cette proposition mais les fonctionnalités présentées sont disponibles dans d’autres solutions SIEM.

Ce « Labo » comporte 3 activités qui peuvent être réalisées en bloc3 SISR :

• Activité 1 : Installation dU SIEM WAZUH et des agents
• Activité 2 : évaluation des configurations et chasse aux menaces
• Activité 3 : réponse aux menaces

D’autres activités (comme la gestion des faux positifs, l’intégration des éléments d’interconnexion sans agents, etc.) seront intégrées ultérieurement.

3.3 Sécuriser les équipements et les usages des utilisateurs

• Identifier les menaces et mettre en œuvre les défenses appropriées
• Vérifier l’efficacité de la protection

3.4 Garantir la disponibilité, l’intégrité et la confidentialité des services informatiques et des données de l’organisation face à des cyberattaques

• Organiser la collecte et la conservation des preuves numériques

• Outils de sécurité : prévention et détection des attaques, gestion d’incidents.

Un serveur physique ou virtuel sous une distribution Linux 64 bits (ici Debian 12 – version stable actuelle ou Ubuntu serveur) sur lequel Wazuh sera installé avec un serveur.

Un serveur physique ou virtuel sous Linux avec le service DHCP

Un serveur physique ou virtuel sous un environnement Windows Serveur avec Active Directory installé.

Une machine physique ou virtuelle Kali.

Site officiel : https://wazuh.com/