Se rendre au contenu

Déploiement d’un SIEM personnel (Wazuh)

5 octobre 2025 par
Alexandre Homier

Rapport de projet – Déploiement d’un SIEM personnel (Wazuh)


1. Contexte du projet

L’objectif de ce projet était de mettre en place un SIEM (Security Information and Event Management) personnel afin de centraliser et analyser les événements de sécurité provenant de plusieurs sources :

  • Mes endpoints personnels

  • Mes serveurs et équipements réseau

Le choix s’est porté sur Wazuh, une plateforme open source de gestion des événements de sécurité et de détection d’intrusions, installée sur un serveur dédié au sein d’un cluster Proxmox.

L’instance principale est déployée sur l’adresse 10.0.1.15 (cluster 2).


2. Objectifs principaux

  • Déployer une instance fonctionnelle de Wazuh sur mon infrastructure personnelle

  • Connecter et superviser mes endpoints via l’agent Wazuh

  • Intégrer les logs de mon pare-feu UniFi afin de détecter des comportements suspects

  • Créer un dashboard personnalisé pour visualiser efficacement les alertes

  • Configurer l’envoi d’alertes critiques par courriel via un relais externe


3. Étapes de mise en place

3.1 Installation du serveur Wazuh

  • Création d’une VM Ubuntu 24.04.3 avec 2 cœurs, 12 Go de RAM et un disque de 100 Go

  • Attribution de l’adresse IP fixe 10.0.1.15

  • Connexion SSH au serveur pour faciliter les manipulations

  • Création d’un répertoire dédié (~/wazuh)

  • Installation via la commande officielle : 

curl -sO https://packages.wazuh.com/4.13/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
  • Accès et connexion au Wazuh Dashboard sous 10.0.1.15.
  • Activation du mode sombre (première configuration essentielle !).


3.2 Déploiement d’un agent sur poste Windows

  1. Téléchargement et déploiement via l’onglet Deploy new agent du dashboard.

  2. Ajout de la configuration (nom de l’agent, IP du serveur).

  3. Exécution de la commande PowerShell fournie pour l’installation.

  4. Démarrage du service avec NET START Wazuh.
  5. Vérification de l’enregistrement de l’agent dans le dashboard (endpoint 10.0.5.116 reconnu et actif).
  6. Commande fournis pour l'installation de l'agent sur un poste Windows 11.

Agent installé sur un endpoint

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.13.1-1.msi -OutFile $env:tmp\wazuh-agent; 
msiexec.exe /i $env:tmp\wazuh-agent /q WAZUH_MANAGER='10.0.1.15' WAZUH_AGENT_GROUP='default' WAZUH_AGENT_NAME='Alexhomier'


3.3 Intégration des logs UniFi

  1. Ajout de l’IP du firewall dans le fichier /var/ossec/etc/ossec.conf.

  2. Constat initial : les logs entraient en archives mais n’étaient pas transformés en alertes.

  3. Solution : création de règles locales (/var/ossec/etc/rules/local_rules.xml) pour transformer ces logs en événements Wazuh exploitables.

  4. Résultat : les alertes du firewall UniFi apparaissent désormais dans le dashboard.

  5. Modification des règles pour modifier leurs classements selon leurs sévérités.


3.4 Création d’un dashboard personnalisé

  • Mise en place de widgets pour visualiser :

    • Le nombre total d’alertes (24h),

    • La répartition par niveau de sévérité,

    • Les sources principales d’alertes,

    • Les logs récents.

  • Exemple :

  • Dashboard du SIEM


3.5 Configuration des alertes externes

  1. Nécessité de recevoir des alertes par email pour les événements critiques.

  2. Contrainte : mon domaine est géré via SimpleLogin, qui ne propose pas de relais SMTP direct.

  3. Solution explorée :

    • Test initial avec n8n → problèmes de compatibilité.

    • Adoption de Shuffle, outil d’automatisation intégré dans Wazuh.

  4. Intégration de MailerSend API (100 mails/jour gratuits).

    • Seuil défini : alerte de sévérité ≥ 12 uniquement.

    • Envoi via appel HTTP + API MailerSend.

  5. Résultat : réception confirmée des alertes critiques par email.

Alerte reçu par courriel


4. Défis rencontrés

  • Logs UniFi non reconnus : nécessitait une transformation en règles locales.

  • Absence de relais SMTP : contourné via une API tierce (MailerSend).

  • Compatibilité avec n8n : instabilité, remplacé par Shuffle.

  • Visualisation des données : apprentissage nécessaire de la logique de dashboards Wazuh.


5. Résultats

  • Mise en place complète d’un SIEM fonctionnel sur mon infrastructure personnelle.

  • Endpoints protégés et visibles dans l’interface Wazuh.

  • Intégration réussie des logs firewall UniFi.

  • Création d’un dashboard personnalisé clair et structuré.

  • Envoi d’alertes critiques par email via API externe.

  • Base solide pour développer un futur mini-SOC personnel.


6. Perspectives

  • Ajouter des intégrations avec Microsoft 365 (logs Azure/Exchange/Teams).

  • Déployer d’autres agents (serveurs Linux et VM Proxmox).

  • Expérimenter avec des actions automatisées (blocage IP, script de confinement).

  • Étendre la corrélation multi-sources pour améliorer la détection avancée.


7. Liens utiles

Alexandre Homier 5 octobre 2025
Partager cet article

Partager

Archive
MASimulation