Wazuh est ma couche SIEM/EDR. Il centralise et corrèle les événements de sécurité de toute l'infra. J'ai un LXC dédié (114) pour ça parce que ça bouffe pas mal de RAM avec OpenSearch.
Agents (chaque machine) Manager (LXC 114)
ββββββββββββββββββββ βββββββββββββββββββββββββββ
β wazuh-agent βββ1514/UDPββΊβ wazuh.manager β
β collecte : β β corrΓ¨le les Γ©vΓ©nements β
β - logs systΓ¨me β β applique les rΓ¨gles β
β - intΓ©gritΓ© β β rΓ©ponse active β
β - processus β ββββββββββββ¬βββββββββββββββ
ββββββββββββββββββββ β
βββββββββββββΌβββββββββββββββ
β wazuh.indexer β
β (OpenSearch) β
βββββββββββββ¬βββββββββββββββ
β
βββββββββββββΌβββββββββββββββ
β wazuh.dashboard β
β wazuh.fabindustries.fr β
ββββββββββββββββββββββββββββ
| HΓ΄te | Type | Agent |
|---|---|---|
| LXC 108 (services) | Linux | wazuh-agent 4.9.2 |
| LXC 114 (local) | Linux | wazuh-agent 4.9.2 |
| HΓ΄te Proxmox | Linux | wazuh-agent 4.9.2 |
| PC gaming Windows | Windows | wazuh-agent 4.9.2 |
L'agent Windows sur mon PC gaming Γ©tait chiant Γ connecter au dΓ©but β le port 1514 UDP devait Γͺtre ouvert dans le firewall Windows. Une fois rΓ©glΓ© Γ§a tourne nickel.
pct exec 114 -- bash
cd /opt/wazuh/single-node
docker compose ps
docker compose logs -f wazuh.manager
# vΓ©rifier la santΓ© du cluster OpenSearch
curl -sk -u admin:@Makunouchi09 https://localhost:9200/_cluster/health | python3 -m json.tool