Sélectionner une page

Formation Wazuh

Niveau confirmé
Catégorie Essential
formation wazuh
Prix HT / personne
4 jours (28 heures)

Paris | Classe Virtuelle

Dernières places Virtuelle uniquement
Labs : Infrastructure DaaS avec Chrome
Cafés et déjeuners offerts en interentreprises
En intra-entreprise pour former votre équipe
Aide au financement 2500€ Bonus Atlas CPF

PRÉSENTATION

Notre formation Wazuh vous permettra de sécuriser vos infrastructures informatiques de manière efficace et de surveiller en temps réel les menaces potentielles. Contrairement à d’autres outils de sécurité, Wazuh offre une plateforme unifiée pour différents environnements tels que les centres de données, les infratructures cloud et les applications.

Dans cette formation, destinée aux ingénieurs et aux consultants en sécurité responsables de la mise en œuvre, de la configuration et de l’exploitation d’un système Wazuh HIDS/SIEM. Il couvre tous les principaux composants du Wazuh et comment en tirer le meilleur parti.

Vous obtiendrez une expérience directe avec de nombreuses fonctionnalités de Wazuh et apprendrez de nombreuses façons de réunir ces fonctionnalités en synergie à des fins avancées.

Ce cours se compose de conférences et d’exercices pratiques effectués pour comprendre le fonctionnement de la technologie. Ces exercices vous apprennent à effectuer des tâches de configuration et d’exploitation afin d’exercer les fonctionnalités mises au point tout au long de la formation.

Comme dans toutes nos formations, celle-ci vous présentera la dernière version stable de Wazuh (à la date de rédaction de l’article : Wazuh 4.11).

 

Objectifs

  • Expliquer en détail l’architecture et le fonctionnement complet de Wazuh
  • Installer, configurer et administrer une infrastructure Wazuh
  • Personnaliser le ruleset (décodeurs, règles, scénarios personnalisés)
  • Surveiller l’intégrité des systèmes et détecter les vulnérabilités
  • Automatiser la détection et la réponse aux incidents (Active Response)
  • Implémenter des intégrations avancées
  • Administrer un environnement Wazuh en mode cluster HA

 

Public visé

  • Professionnels IT
  • Administrateurs systèmes
  • Administrateurs réseau
  • Ingénieurs DevOps
  • Architectes de solution Cloud

 

Pré-requis

  • Avoir de l’expérience sur les concepts de base de la sécurité informatique
  • Connaissance de base de la ligne de commande Linux
  • Tester Mes Connaissances

 

Pré-requis techniques

  • Un PC capable de faire tourner des conteneurs Docker (minimum 16 Go de RAM requis) pour les labs

Programme de notre formation Wazuh

 

Jour 1 : Introduction, Architecture, Déploiement et Configuration

 

Introduction à Wazuh

  • Introduction à Wazuh
  • Architecture et communication sécurisée
  • Déploiement et enregistrement des agents
  • Découverte du Wazuh Dashboard
  • Configuration de Wazuh

 

Architecture et communication sécurisée

  • Architecture client-serveur de Wazuh
  • Communication entre les composants
  • Sécurisation des échanges

 

Déploiement et enregistrement des agents

  • Options de déploiement du serveur Wazuh
  • Prérequis d’installation
  • Méthodes d’enregistrement des agents
  • Mise à niveau des agents
  • TP/Lab 1 : Déploiement et enregistrement d’un agent

 

Découverte du Wazuh Dashboard

  • Connexion au Wazuh Dashboard
  • Présentation de l’interface
  • Exploration des sections clés
  • TP/Lab 2 : Exploration du Wazuh Dashboard

 

Configuration de Wazuh

  • Fichiers de configuration principaux
  • Configuration centralisée d’un agent
  • Options de configuration de base
  • TP/Lab 3 : Configuration centralisée d’un agent

 

Jour 2 : Analyse de logs, règles et décodeurs

 

Analyse de logs

  • Moteur d’analyse de logs de Wazuh
  • Flux des logs dans le pipeline Wazuh
  • Phases d’analyse
  • Localisation des logs et des alertes
  • Surveillance des périphériques réseau via Syslog
  • Support de la conformité réglementaire
  • TP/Lab 4 : Analyse des logs et suivi des règles

 

Wazuh Indexer et Dashboard

  • Intégration avec l’indexer OpenSearch
  • Utilisation du Wazuh Dashboard comme console de gestion des alertes
  • Pipeline événement/alerte détaillé

 

Wazuh Ruleset

  • Structure du Wazuh Ruleset
  • Couverture applicative diverse
  • Mise à jour du Ruleset
  • Contribution au Ruleset (brève mention si pertinent pour l’audience)
  • Exploration approfondie de la hiérarchie des règles

 

Décodeurs et règles

  • Définition des règles, décodeurs et pré-décodeurs
  • Types de règles
  • Décodeurs en détail
  • Création de règles et décodeurs personnalisés
  • Bonnes pratiques pour adapter le Ruleset
  • Test des décodeurs et des règles personnalisés
  • Décodage dynamique des logs JSON entrants
  • TP/Lab 5 : Création d’un décodeur et d’une règle personnalisés

 

Listes CDB

  • Fonctionnement des listes CDB
  • Cas d’utilisation des listes CDB
  • Format des fichiers et chemins
  • Création de règles utilisant les listes CDB
  • TP/Lab 6 : Utilisation des listes CDB

 

Jour 3 : Surveillance, détection et réponse

 

Surveillance de l’intégrité des fichiers (FIM)

  • Fonctionnement du module FIM (Syscheck)
  • Options de configuration de Syscheck
  • Exclusions FIM
  • Alertes FIM
  • Cas d’utilisation du FIM
  • TP/Lab 7 : Configuration et analyse des résultats du FIM

 

Collecte d’inventaire & détection de vulnérabilités

  • Collecte d’inventaire (Syscollector)
  • Module de détection de vulnérabilités
  • Configuration du détecteur de vulnérabilités
  • Visualisation des vulnérabilités
  • Utilisation de l’inventaire via l’API Wazuh (brève mention)
  • TP/Lab 8 : Détection de vulnérabilités

 

Détection de rootkits

  • Fonctionnement du module Rootcheck
  • Méthodes de détection
  • Alertes Rootcheck
  • TP/Lab 9 : Simulation de rootkit

 

Système d’intégration Wazuh

  • Présentation du système d’intégration
  • Configuration des intégrations
  • Exemples d’intégrations fournies par Wazuh

 

Réponse active

  • Concept de réponse active
  • Scripts de réponse active par défaut
  • Types de commandes
  • Configuration de la réponse active
  • Exemples de réponse active
  • TP/Lab 10 : Configuration d’une réponse active automatique

 

Évaluation de la configuration de sécurité (SCA)

  • Fonctionnement du module SCA
  • Politiques SCA
  • Gestion centralisée des politiques SCA
  • Types de vérifications SCA
  • Résultats des évaluations SCA
  • TP/Lab 11 : Exécution d’une politique SCA

 

Jour 4 : Threat Intelligence, intégrations avancées et administration HA

 

Techniques MITRE ATT&CK

  • Introduction au framework MITRE ATT&CK
  • Mapping des alertes Wazuh avec MITRE ATT&CK
  • Navigation dans le module MITRE ATT&CK du Dashboard
  • Utilisation d’ATT&CK Navigator
  • TP/Lab 12 : Exploration du mapping MITRE ATT&CK dans Wazuh

 

Intégrations avancées

  • Intégration Docker, Trivy et SCA
  • Intégration Osquery
  • TP/Lab 13 : Exécuter une requête Osquery via Wazuh et analyser les résultats dans le Dashboard
  • Intégration Sysmon (Windows)
  • TP/Lab 14 : Simuler un événement Sysmon
  • Intégration Azure
  • Intégration Office 365
  • Intégration avec des plateformes de TI (VirusTotal, MISP)
  • TP/Lab 15 : Test EICAR et intégration VirusTotal
  • Intégration ClamAV et YARA Rules

 

Gestion du cluster HA

  • Déploiement d’un Wazuh en cluster HA (multi-VMs en utilisant Docker sur les nœuds)
  • Rotation des certificats
  • Ajout de nouveaux nœuds
  • Upgrades en cluster HA (versions Docker et source installée)
  • Snapshots

 

Conclusion & prochaines étapes

 

 

Pour aller plus loin

Formation Microsoft Sentinel

Formation IBM QRadar SIEM

Formation GrayLog

Langues et Lieux disponibles

Langues

  • Français
  • Anglais / English

Lieux

  • France entière
    • Paris
    • Lille
    • Reims
    • Lyon
    • Toulouse
    • Bordeaux
    • Montpellier
    • Nice
    • Sophia Antipolis
    • Marseille
    • Aix-en-Provence
    • Nantes
    • Rennes
    • Strasbourg
    • Grenoble
    • Dijon
    • Tours
    • Saint-Étienne
    • Toulon
    • Angers
  • Belgique
    • Bruxelles
    • Liège
  • Suisse
    • Genève
    • Zurich
    • Lausanne
  • Luxembourg

Nos Formateurs Référents

Témoignages

2 août 2024

Les – : Formateur peu pédagogue : Je veux bien entendre que le formateur a dû s’adapter au fait que nous connaissions déjà partiellement Wazuh mais le cours ne semblait pas très préparé.

Le formateur n’est pas très patient lorsqu’on fait des choses en partage d’écran, et paradoxalement lorsqu’il chercher à faire fonctionner quelque chose en partage d’écran nous subissons patiemment sans plusccomprendre ce qu’il cherche a faire au bout d’un moment. Exemple : jour 2 de la formation nous avons passé 30 minutes a voir le formateur lutter a essayer d’écrire une Regex. C’est ok, tout le monde a du mal avec les regex, mais nous n’avons pas besoin de passer autant de temps à essayer d’écrire notre propre regex, surtout quand il existe dans les fichiers de Wazuh des exemples de Regex qui fonctionnent.

Et c’est quelque chose qui est revenu plusieurs fois.

Thibault A. de chez TELEOPHTALMO

Afficher tous les témoignages

2 août 2024

Les – : Formateur peu pédagogue : Je veux bien entendre que le formateur a dû s’adapter au fait que nous connaissions déjà partiellement Wazuh mais le cours ne semblait pas très préparé.

Le formateur n’est pas très patient lorsqu’on fait des choses en partage d’écran, et paradoxalement lorsqu’il chercher à faire fonctionner quelque chose en partage d’écran nous subissons patiemment sans plusccomprendre ce qu’il cherche a faire au bout d’un moment. Exemple : jour 2 de la formation nous avons passé 30 minutes a voir le formateur lutter a essayer d’écrire une Regex. C’est ok, tout le monde a du mal avec les regex, mais nous n’avons pas besoin de passer autant de temps à essayer d’écrire notre propre regex, surtout quand il existe dans les fichiers de Wazuh des exemples de Regex qui fonctionnent.

Et c’est quelque chose qui est revenu plusieurs fois.

Thibault A. de chez TELEOPHTALMO
2 août 2024

Les – : Le formateur

Trop de “TP” en partage d’écran, qui ne laissent pas la place à la réflexion

En synthèse : Le formateur ne donne pas l’impression de maîtriser la solution.

Explications et discours confus

Trop de “démonstrations” qui ne fonctionnent jamais

Yohan D. de chez TELEOPHTALMO
7 juin 2024

Les + : Objectif de la formation atteint. Disponibilité du formateur pour s’adapter à nos demandes spécifiques.

Les – : Bien que le formateurs semblait parfaitement compétant sur le sujet, certain passages semblaient encore un peu ‘brouillons”

Alexis L. de chez STUDEC
7 juin 2024

Les – : Niveau du formateur.

Brian N. de chez STUDEC

Noter la formation

Prix HT / personne
4 jours (28 heures)

Paris | Classe Virtuelle

Dernières places Virtuelle uniquement
Labs : Infrastructure DaaS avec Chrome
Cafés et déjeuners offerts en interentreprises
En intra-entreprise pour former votre équipe
Aide au financement 2500€ Bonus Atlas CPF

UNE QUESTION ? UN PROJET ? UN AUDIT DE CODE / D'INFRASTRUCTURE ?

Pour vos besoins d’expertise que vous ne trouvez nulle part ailleurs, n’hésitez pas à nous contacter.

ILS SE SONT FORMÉS CHEZ NOUS

partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp
partenaire sncf
partenaire hp
partenaire allianz
partenaire sfr
partenaire engie
partenaire boursorama
partenaire invivo
partenaire orange
partenaire psa
partenaire bnp