SIEM WAZUH

 ‪How Many Endpoints Can Wazuh Handle? A Comprehensive Look‬‏

Requirements

Hardware

Hardware requirements highly depend on the number of protected endpoints and cloud workloads. This number can help estimate how much data will be analyzed and how many security alerts will be stored and indexed.

Following this quickstart implies deploying the Wazuh server, the Wazuh indexer, and the Wazuh dashboard on the same host. This is usually enough for monitoring up to 100 endpoints and for 90 days of queryable/indexed alert data. The table below shows the recommended hardware for a quickstart deployment:

 

Agents

CPU

RAM

Storage (90 days)

1–25

4 vCPU

8 GiB

50 GB

25–50

8 vCPU

8 GiB

100 GB

50–100

8 vCPU

8 GiB

200 GB

 

Operating system

The Wazuh central components require a 64-bit Intel or AMD Linux processor (x86_64/AMD64 architecture) to run. Wazuh recommends any of the following operating system versions:

 

mazon Linux 2, Amazon Linux 2023

CentOS 7, 8

Red Hat Enterprise Linux 7, 8, 9

Ubuntu 16.04, 18.04, 20.04, 22.04, 24.04

Installing Wazuh

  • Download and run the Wazuh installation assistant.

    • curl -sO https://packages.wazuh.com/4.11/wazuh-install.sh && sudo bash ./wazuh-install.sh -a

     

    Once the assistant finishes the installation, the output shows the access credentials and a message that confirms that the installation was successful.


    INFO: --- Summary ---
    INFO: You can access the web interface https://<WAZUH_DASHBOARD_IP_ADDRESS>
        User: admin
        Password: <ADMIN_PASSWORD>
    INFO: Installation finished.

     

  • You now have installed and configured Wazuh.

  • Access the Wazuh web interface with https://<WAZUH_DASHBOARD_IP_ADDRESS> and your credentials:

    • Username: admin

    • Password: <ADMIN_PASSWORD>

    •  

    Note

    You can find the passwords for all the Wazuh indexer and Wazuh API users in the wazuh-passwords.txt file inside wazuh-install-files.tar. To print them, run the following command:

     

     sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

     

    L'installation manuelle d'un agent SIEM (Security Information and Event Management) sur Windows dépend du SIEM que vous utilisez (ex: Splunk, Wazuh, QRadar, ArcSight, etc.). Voici un guide général pour l’installation manuelle d’un agent SIEM sur un système Windows, basé sur l'exemple courant de Wazuh (open-source et largement utilisé).

     

    Étapes générales pour l'installation manuelle d’un agent SIEM sur Windows (ex: Wazuh Agent)

    ✅ 1. Télécharger l'agent

  • Rendez-vous sur le site officiel de Wazuh : https://packages.wazuh.com/

  • Télécharger la dernière version de l’agent pour Windows (fichier .msi).

    •  


    2. Lancer l’installation

    • Exécuter le fichier .msi téléchargé en tant qu’administrateur.

    • Suivre l’assistant d’installation.

       

      ✅ 3. Configurer l’agent

      Avant de démarrer l’agent, vous devez modifier le fichier de configuration :

    • Fichier à modifier :
       C:\Program Files (x86)\ossec-agent\ossec.conf

    • Modifier les lignes suivantes :


    •  <server>
        <address>IP_DU_SERVEUR_SIEM</address>
        <port>1514</port> <!-- Par défaut -->
        <protocol>udp</protocol> <!-- ou tcp selon votre configuration -->
      </server>


      ✅ 4. Enregistrer l’agent sur le serveur

      Sur le serveur SIEM (Wazuh Manager) :

    • Ajouter l’agent (via l’interface ou en ligne de commande) avec :

      [wazuh-user@wazuh-server ~]$ sudo /var/ossec/bin/manage_agents


      ****************************************

      * Wazuh v4.11.2 Agent manager.         *

      * The following options are available: *

      ****************************************

         (A)dd an agent (A).

         (E)xtract key for an agent (E).

         (L)ist already added agents (L).

         (R)emove an agent (R).

         (Q)uit.

      Choose your action: A,E,L,R or Q: A


      - Adding a new agent (use '\q' to return to the main menu).

        Please provide the following:

         * A name for the new agent: win10

         * The IP Address of the new agent:


         * The IP Address of the new agent: any

      Confirm adding it?(y/n): y

      Agent added with ID 002.


      ****************************************

      * Wazuh v4.11.2 Agent manager.         *

      * The following options are available: *

      ****************************************

         (A)dd an agent (A).

         (E)xtract key for an agent (E).

         (L)ist already added agents (L).

         (R)emove an agent (R).

         (Q)uit.

      Choose your action: A,E,L,R or Q: E


      Available agents:

         ID: 001, Name: wind, IP: any

         ID: 002, Name: win10, IP: any

      Provide the ID of the agent to extract the key (or '\q' to quit): 002


      Agent key information for '002' is:

      MDAyIHdpbjEwIGFueSAzMzUxZjU0MzBhNmI1NTBhOTZhNWYyNTk1OTg3MjhiOGY5OTI4MWY2YzhjYjViODQ1ZWQ5YTdmOTM5MWZjMWY3


      ** Press ENTER to return to the main menu.

      /var/ossec/

       

      bin/manage_agents.
       

      Ajouter un nouvel agent, récupérer la clé, puis sur le poste Windows :

       "C:\Program Files (x86)\ossec-agent\manage_agents.exe"

      Choisir "Import key" et entrer la clé donnée par le manager.

      ✅ 5. Démarrer le service

      Démarrer l’agent via le Service Windows ou en ligne de commande :


      net start wazuh-agent

       

      📋 Vérification


    • Vérifier que le service est en cours d’exécution :
       services.msc → Wazuh Agent

    • Vérifier les logs :
       C:\Program Files (x86)\ossec-agent\logs\ossec.log

    •  



    Bloquer les Utilisateurs Non Autorisés - 

    Système de détection d'hôtes via Active -Response - WAZUH






    Bloquer définitivement des Cyberattaques par Force Brute via SSH par Authentification à clé Privée.

    No comments:

    Post a Comment

    Subscribe to: Posts (Atom)

    TCP_IP_ATTACKS