Wazuh — plateforme open-source de sécurité (SIEM / XDR)
Comprendre ce qu’est Wazuh, à quoi sert un XDR, et en quoi cela diffère d’un EDR et d’un SIEM. Cette page est une présentation — aucune donnée n’est collectée.
Wazuh, c’est quoi ?
Wazuh est une plateforme de sécurité open-source qui combine des capacités de collecte/corrélation de logs (SIEM) et d’analyse côté agent pour la détection et la réponse (XDR).
- Agents sur les endpoints (Windows, Linux, macOS) pour collecter événements, vulnérabilités, intégrité des fichiers…
- Manager (serveur) pour corrélation, règles, alertes et réponses actives.
- Indexation & tableaux de bord via un moteur de recherche et un plugin de visualisation.
À quoi sert le XDR ?
XDR = Extended Detection & Response. Il unifie la détection et la réponse sur plusieurs périmètres : endpoints, serveurs, identités, réseau, cloud.
- Vue corrélée des signaux (moins de silos).
- Détection de scénarios multi-étapes (ex. phishing → exécution → exfiltration).
- Réponse guidée ou automatisée (isoler un hôte, bloquer un hash, etc.).
EDR, SIEM, XDR — quelle différence ?
| Catégorie | Rôle principal | Forces | Limites |
|---|---|---|---|
| EDR (Endpoint) | Détection & réponse sur les postes/serveurs | Haute visibilité processus/fichiers | Peu de contexte hors endpoint (identité, réseau, cloud) |
| SIEM | Centralise et corrèle les logs | Couverture large, conformité & audit | Qualité dépend des sources/règles |
| XDR | Détection & réponse élargies (multi-domaines) | Corrélation transverse + playbooks | Intégrations et réglages à soigner |
Wazuh offre une approche SIEM + XDR : agents (visibilité endpoint) + corrélation centrale (vision transverse).
Architecture type (simplifiée)
- Agents (hôtes, serveurs, conteneurs) → envoient événements, inventaire, vulnérabilités, FIM…
- Manager → règles, corrélation, alertes, active response.
- Indexation & dashboards → recherche, visualisation, tableaux de bord sécurité.
- Intégrations → annuaires (SSO/IAM), pare-feu, proxies, cloud (logs audit), messagerie, etc.
Déploiement on-premise ou en VM/cloud. Scale horizontal en ajoutant des nœuds et des indexeurs.
Cas d’usage concrets
- Détection d’attaques : bruteforce, élévation de privilèges, exécution suspecte, exfiltration.
- Vulnérabilités : inventaire logiciel + matching de CVE ; priorisation.
- FIM : alerte sur modification de fichiers sensibles (config, clés, binaires).
- Conformité : guides/cadres (ex. CIS) & rapports d’audit.
- Cloud : journaux d’audit, activités anormales, surveillance identité.
- Réponse active : scripts d’isolement, blocage d’IP/hash, rotation de clés.
Points forts
- Open-source : pas de licence par poste, forte communauté.
- Modulaire : agents légers, règles personnalisables, intégrations variées.
- Visibilité unifiée : endpoints + logs + cloud → corrélation transverse (XDR).
- Automatisation : réponses actives et scénarios.
Points d’attention
- Gouvernance : qui crée/valide les règles, qui traite les alertes ?
- Bruit : nécessite un tuning (sources, règles, exceptions) pour limiter les faux positifs.
- Capacités XDR : solides en open-source, mais certaines fonctions avancées des suites commerciales peuvent manquer.
- Capacité & rétention : dimensionner stockage/indexation (débit, rétention légale).
Quand choisir Wazuh ?
- Vous souhaitez une solution ouverte, auditable, et adaptable à votre contexte.
- Vous avez des compétences (ou un partenaire) pour opérer un SIEM/XDR (règles, triage, réponses).
- Vous voulez unifier logs + endpoint et préparer des playbooks de réponse.
Alternative : des XDR commerciaux “clé en main” offrent du confort opérationnel mais à un coût de licence récurrent et moins de contrôle interne.