30/11/2020

Wazuh 4.0, les nouvelles fonctionnalités

La plateforme de sécurité open source, permettant la surveillance des menaces et incidents, la détection des menaces, se met à jour. La nouvelle version apporte des améliorations en termes de sécurité, de performances et d’utilisabilité.

API RBAC

L'API de Wazuh fait désormais partie du pack de gestion de Wazuh. Ses performances ont été améliorées et elle comprend désormais un contrôle d'accès basé sur les rôles. Cette fonctionnalité gère l'accès aux points d'extrémité de l'API, en utilisant les politiques et les rôles des utilisateurs. Elle permet également d'attribuer des rôles et des politiques aux utilisateurs qui rempliront différentes fonctions dans l'environnement. Cette capacité permettra, par exemple, de restreindre l'accès d'un utilisateur aux fichiers contrôlés par le FIM d'un groupe d'agents. Vous pouvez en savoir plus sur la façon d'ajouter des rôles aux utilisateurs ici.

Inscription automatique des agents

Il n'est pas nécessaire de demander une clé en utilisant un CLI externe car les agents peuvent désormais demander la clé de manière autonome. Lorsqu'un agent dispose d'une IP de gestionnaire définie sur sonossec.conf, il demandera automatiquement la clé au gestionnaire s'il ne dispose pas d'une clé valide au démarrage.

La fonctionnalité d'auto-enregistrement permet également à l'agent de demander une nouvelle clé en cas de perte de la connexion avec le gestionnaire. Dans ce cas, l'agent vérifiera si le gestionnaire est défini sur theossec.conf et si c'est le cas, il demandera une nouvelle clé par défaut toutes les 10 secondes jusqu'à 5 fois consécutives. Tant le nombre de tentatives de demande que la fréquence de demande de ces clés peuvent être personnalisés sur le siteossec.conf.

L'inscription de l'agent peut toujours se faire à l'aide de l'agent-auth, mais avec l'inscription automatique, il n'est pas nécessaire de demander la clé. Il convient de mentionner que tous les agents des versions précédentes sont toujours 100 % compatibles avec la version 4.x.

Le protocole de communication par défaut du gestionnaire et de l'agent est désormais TCP. Ce changement garantit une transmission fiable des données collectées par les agents, la mise en place de paramètres de configuration centralisés en temps réel et une exécution plus rapide des réponses actives.

 

FIM : Limitations des quotas de disque

Le FIM met en place un groupe de paramètres pour contrôler l'utilisation du disque des fichiers temporels du module. Cela signifie qu’il est maintenant possible de choisir la quantité d'espace disque utilisée par l'utilitaire de changement de rapport. L'option diff signale alors les changements dans les fichiers surveillés en créant une copie compressée du fichier et en vérifiant si elle change. Cette méthode peut utiliser beaucoup d'espace disque en fonction du nombre de fichiers surveillés.

Ce nouveau paramètre permettra d'éviter cette situation en permettant à l'utilisateur de fixer des limites. Wazuh 4.0 introduit de nouvelles possibilités pour limiter l'espace utilisé :

quota_disque : Ce champ indique la quantité totale d'espace que l'utilitaire de diff peut utiliser. Par défaut, cette valeur est fixée à 1 Go.

file_size : Cette option limite la taille du fichier qui rapportera les informations de diff. Les fichiers plus volumineux que cette limite ne signaleront pas les informations de différences. Par défaut, cette limite est fixée à 50MB.

En outre, il est désormais possible de surveiller les répertoires à l'aide de variables d'environnement.

 

Plugin Wazuh Kibana

Le plugin Wazuh Kibana ajoute le support de Open Distro for Elasticsearch v1.10.1 et Elastic Stack v7.9.1 et v7.9.2. Outre la prise en charge du RBAC, cette mise à jour apporte de nouveaux paramètres de vue de configuration pour l'intégration des GCP et a élargi les variables de déploiement prises en charge.

 

Le plugin Wazuh Kibana ajoute également des statistiques pour le moteur d'écoute :

 

image-1 wazuh

 

et le moteur d'analyse :

 

image-2 wazuh

 

Source :  wazuh.com

Actualités