Wazuh Docker Compose (Comment ça fonctionne pour les développeurs)

Introduction

Les entreprises organisées dans le monde numérique en rapide évolution d'aujourd'hui seront menacées par des cyberattaques avancées, des conformités réglementaires strictes et des systèmes de surveillance. Une stratégie contemporaine ajoutée à la cybersécurité moderne comprend les éléments suivants : de nouvelles fonctionnalités de surveillance de la sécurité, qui traitent de la détection des menaces, telles que l’identification des activités malveillantes ou des vulnérabilités, et y répondent de manière appropriée. Une autre nouvelle fonctionnalité concerne la gestion de la conformité, qui nécessite le respect de plusieurs réglementations. La gestion de la conformité garantit les normes et règles des industries qui permettent aux organisations d'éviter les pénalités et de transmettre avec confiance le contrôle de leur organisation à d'autres clients ou parties prenantes.

Les organisations ont besoin d'outils de haute qualité pour répondre à ces exigences avec précision. Une excellente solution est une mise en œuvre de Wazuh Docker ou conteneurisée de Wazuh.plateforme de sécurité. Dans cet article, nous allons en apprendre davantage sur Wazuh Docker et comment il peut être intégré à IronSecureDoc.

Qu'est-ce que Wazuh Docker ?

Wazuh Dockerest un déploiement Dockerisé de la plateforme de sécurité Wazuh, simplifiant et renforçant la surveillance de la sécurité, la détection des menaces et l'implémentation de la gestion de la conformité. Il tire parti de Docker pour conteneuriser les composants principaux de Wazuh Manager, Elasticsearch et Kibana, permettant une rapidité pour un déploiement rapide et une automatisation au niveau opérationnel. Cette solution offre des fonctionnalités telles que l'EDR, l'analyse des journaux, la gestion des vulnérabilités et la surveillance de la conformité réglementaire, en faisant une solution de sécurité complète pour un environnement informatique moderne.

Image cassée Ajouter depuis Pixabay, sélectionner depuis vos fichiers ou glisser-déposer une image ici.

Son architecture conteneurisée garantit la compatibilité avec les plateformes cloud, les systèmes sur site et les outils d'orchestration comme Kubernetes, ce qui facilite l'adaptation par les organisations à des infrastructures diverses. Avec le tableau de bord Wazuh, les entreprises peuvent surveiller les événements de sécurité en temps réel, répondre efficacement aux menaces et maintenir la conformité avec les normes de l'industrie, tout en bénéficiant de la flexibilité et de l'efficacité du déploiement containerisé.

Fonctionnalités de Wazuh Docker

Déploiement conteneurisé

Wazuh Docker utilise la technologie Docker pour regrouper tous ses composants comme Wazuh Manager, Elasticsearch et Kibana dans des conteneurs préconstruits prêts à l'emploi. Cette architecture conteneurisée permet de déployer Wazuh facilement partout, assurant une cohérence entre les environnements et réduisant la complexité de l'installation et de la maintenance de la plateforme.

Évolutivité

Wazuh Docker est conçu pour les environnements dynamiques et permet également aux composants individuels de s'adapter de manière indépendante. Par exemple, avec une augmentation du volume de données surveillées, les nœuds Elasticsearch peuvent être étendus par les utilisateurs pour gérer la charge de travail et assurer une performance efficace dans un déploiement à grande échelle.

Portabilité

L'architecture Docker de Wazuh est une architecture basée sur le cloud déployable sur des machines locales, des services cloud ou des plateformes d'orchestration de conteneurs telles que Kubernetes. Sa portabilité garantit la compatibilité avec de multiples infrastructures, permettant aux organisations de l'adapter à leurs besoins opérationnels uniques.

Simplification de la gestion

Wazuh Docker accomplit une telle simplification de toute l'orchestration de ses composants en utilisant Docker Compose. La tâche autrement complexe de démarrer, arrêter et gérer la pile Wazuh devient plus simple ; la charge administrative s'allège et permet aux utilisateurs, voire même aux moins expérimentés, de s'occuper des choses avec un minimum de tracas et d'effort.

Analyse des journaux

Wazuh Docker agrège et corrèle les journaux provenant de n'importe quelle source, qu'il s'agisse de serveurs, d’applications ou de dispositifs. Il aide les organisations dans la détection et la réponse aux incidents de sécurité en offrant une corrélation des journaux en temps réel.

Détection de menaces

Wazuh Docker détecte les menaces, les vulnérabilités et même les activités suspectes effectuées sur les points de terminaison surveillés grâce à l'aide de règles intégrées et à la personnalisation des configurations. Cela contribue à renforcer votre organisation en offrant une protection proactive pour ses systèmes contre les risques de sécurité.

Surveillance de la conformité

Wazuh Docker automatise les vérifications selon des normes industrielles telles que le RGPD, la HIPAA et le PCI DSS. Wazuh Docker émet également des rapports étendus qui facilitent l'audit et surveillent le niveau de conformité d'une organisation avec les normes réglementaires.

Règles personnalisables

Wazuh Docker fournit des règles de sécurité personnalisées, une capacité permettant à l'organisation d'avoir ses politiques de détection des menaces et de conformité selon les besoins d'une organisation. Une telle flexibilité garantit que la plateforme devra s'adapter aux défis opérationnels uniques et aux objectifs de sécurité.

Tableau de bord basé sur le web

Kibana est intégré à Wazuh Docker. Le tableau de bord basé sur le web pour visualiser les alertes, les journaux et les tendances est très puissant. Avec une interface intuitive, il permet aux utilisateurs d'analyser les données, de surveiller les événements de sécurité et de créer des vues personnalisées en toute simplicité.

Intégration transparente

Wazuh Docker s'intègre facilement et harmonieusement avec tous les outils tiers et services cloud, permettant des flux de travail élaborés et le partage de données. Ainsi, l'interopérabilité accroît son utilisation dans le cadre d'un système de sécurité plus global.

Installer Wazuh Docker

Nous pouvons déployer la stack Wazuh qui inclut Wazuh Manager, Elasticsearch et Kibana en utilisant Docker et Docker Compose. Ce guide étape par étape vous mènera à travers le processus de configuration pour exécuter deux nœuds de gestionnaire Wazuh avec Docker.

Clonez le dépôt Docker Wazuh

Tout d'abord, clonez le dépôt officiel de Wazuh Docker, qui contient les fichiers de configuration et les images Docker nécessaires au déploiement.

git clone https://github.com/wazuh/wazuh-docker.git
cd wazuh-docker

git clone https://github.com/wazuh/wazuh-docker.git
cd wazuh-docker

'INSTANT VB TODO TASK: The following line uses invalid syntax:
'git clone https: cd wazuh-docker

En faisant cela, une copie locale du dépôt est créée, changeant le répertoire.

Configurer Docker Compose

Le dépôt dispose d'un fichier docker-compose.yml préconfiguré qui déclare les conteneurs Wazuh, Elasticsearch et Kibana. Vous pouvez modifier ce fichier selon vos besoins ; vous pourriez vouloir ajuster certaines limites de ressources ou modifier les paramètres réseau.

Démarrer la pile Wazuh

Une fois que votre fichier docker-compose.yml est configuré, vous pouvez exécuter la pile Docker Wazuh. Pour exécuter tous les conteneurs, entrez la commande suivante :

docker-compose up -d

docker-compose up -d

'INSTANT VB TODO TASK: The following line uses invalid syntax:
'docker-compose up -d

Vous avez le choix de démarrer un conteneur à nœud unique ou multi-nœuds. Cette commande récupérera les images Docker nécessaires depuis Docker Hub si elles ne sont pas déjà disponibles localement et démarrera les conteneurs en arrière-plan, ce qui installe le conteneur de l'indexeur Wazuh et le nœud de tableau de bord.

Après le démarrage des conteneurs, vous pouvez vérifier que la pile Docker Wazuh avec les nœuds d'indexation Wazuh est en cours d'exécution en vérifiant le statut des conteneurs à nœud unique ou multi-nœuds :

docker ps

docker ps

'INSTANT VB TODO TASK: The following line uses invalid syntax:
'docker ps

De plus, vous pouvez vérifier la vue du nœud du tableau de bord Wazuh. Nous pouvons nous connecter avec les identifiants par défaut.

Qu'est-ce qu'IronSecureDoc ?

IronSecureDocest un outil utilitaire de gestion et de sécurité des documents qui utilise un cryptage avancé, une manipulation complexe des PDF et la signature numérique. Il offre la confidentialité et l'intégrité des documents aux entreprises et aux développeurs grâce à un accès transparent, facilitant ainsi le traitement des documents PDF sans aucune dépendance directe ou indirecte. On peut également la qualifier d'API PDF agressive dans les cas où les fonctionnalités permettent aux développeurs de créer, télécharger, manipuler et sécuriser des fichiers et documents PDF par programmation.

De plus, IronPDF est une API PDF qui permet la création d'un PDF à partir de tout type de données d'entrée et l'ajout ou la modification de contenu grâce à des paramètres tels que le texte, les images et les métadonnées. Cela inclut la fusion de plusieurs PDF pour créer des fichiers composés, la séparation des documents, et même les commentaires, surlignages ou filigranes pour les annotations.

Il offre une protection par mot de passe, un chiffrement AES et des contrôles d'accès basés sur des certificats via l'outil Wazuh certs gen qui verrouille toutes vos informations et données sensibles. En dehors de cela, il permet la signature numérique pour authentifier vos documents et la non-répudiation - une fonctionnalité très importante dans les secteurs financier, médical et juridique. Sa fonctionnalité de piste d'audit permet de surveiller toutes les activités exécutées sur les documents pour plus de conformité et de responsabilisation.

Installer et exécuter IronSecureDoc

Tirez l'image Docker d'IronSecureDoc en utilisant la commande dans l'invite de commande ou une fenêtre de terminal ouverte basée sur le dépôt suivant.

docker pull ironsoftwareofficial/ironsecuredoc

docker pull ironsoftwareofficial/ironsecuredoc

'INSTANT VB TODO TASK: The following line uses invalid syntax:
'docker pull ironsoftwareofficial/ironsecuredoc

docker container run --rm -p 8080:8080 -e IronSecureDoc_LicenseKey=<IRONSECUREDOC_LICENSE_KEY> -e ENVIRONMENT=Development -e HTTP_PORTS=8080 ironsoftwareofficial/ironsecuredoc:latest

docker container run --rm -p 8080:8080 -e IronSecureDoc_LicenseKey=<IRONSECUREDOC_LICENSE_KEY> -e ENVIRONMENT=Development -e HTTP_PORTS=8080 ironsoftwareofficial/ironsecuredoc:latest

'INSTANT VB TODO TASK: The following line uses invalid syntax:
'docker container run --rm -p 8080:8080 -e IronSecureDoc_LicenseKey=<IRONSECUREDOC_LICENSE_KEY> -e ENVIRONMENT=Development -e HTTP_PORTS=8080 ironsoftwareofficial/ironsecuredoc:latest

La commande Docker run ci-dessus démarrera une instance de conteneur de l'IronSecureDoc. Vous pouvez désormais accéder à IronSecureDoc sur le port "http://localhost:8080/swagger/index.html" comme la page ci-dessous.

Intégration d'IronSecureDoc avec Wazuh

L'intégration avec Wazuh renforcera la posture de sécurité globale et combinera la surveillance de la sécurité des documents avec les capacités les plus robustes de détection des menaces et de gestion de la conformité. Grâce à cette intégration, vous pouvez surveiller de près les activités liées aux documents, établir des règles de détection d'anomalies pour la gestion des documents ou appliquer des règles de conformité. Voici comment procéder et quelles considérations s'appliquent lors de l'ajout d'IronSecureDoc à un gestionnaire Wazuh dans votre déploiement.

Configurer la surveillance des journaux

Cela implique la configuration du système pour la collecte et l’analyse des données de journal provenant de diverses sources, ce qui constitue l’essence même de la surveillance des journaux. Ce processus aide à identifier les anomalies et révèle les menaces potentielles tout en garantissant la conformité. Tout d'abord, identifiez les fichiers journaux ou répertoires que vous souhaitez surveiller : cela pourrait être un journal d'application, un journal système, ou tout journal d'outil tiers, comme IronSecureDoc.

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

<localfile>
  <log_format>syslog</log_format>
  <location>/path/to/ironsecuredoc/logs</location>
</localfile>

'INSTANT VB TODO TASK: The following line uses invalid syntax:
'<localfile> <log_format> syslog</log_format> <location>/path/@to/ironsecuredoc/logs</location> </localfile>

La prochaine étape consiste à modifier le fichier de configuration Wazuh, ossec.conf, sur les nœuds de l'agent Wazuh ou du gestionnaire Wazuh. Ajouter unentrée pour la source du journal. Définissez le format de journal, par exemple, syslog, et le chemin d'accès ou l'emplacement où les journaux sont stockés. Ensuite, redémarrez l'agent ou le gestionnaire Wazuh pour appliquer les changements. Wazuh surveillera ensuite les journaux donnés en corrélant les événements avec ses règles intégrées ou celles que vous définissez. Il envoie des alertes pour les activités suspectes ou les violations de conformité.

Redémarrez l'agent Wazuh pour appliquer les modifications.

systemctl restart wazuh-agent

systemctl restart wazuh-agent

'INSTANT VB TODO TASK: The following line uses invalid syntax:
'systemctl restart wazuh-agent

Cette configuration garantit que Wazuh capture et traite tous les événements de journal pertinents. Ci-dessous, une capture d'écran prise par le gestionnaire Wazuh et un journal de l'activité incluant IronSecureDoc.

Intégrer l'API d'IronSecureDoc

Pour inclure une intégration avancée, utilisez l'API IronSecureDoc(s'il est accessible)pour que le référentiel Wazuh récupère les événements de sécurité au niveau du document. Écrivez un script ou un programme personnalisé pour récupérer ces événements et les soumettre à Wazuh. Voici un exemple d'implémentation Python ci-dessous :

import requests
# API URLs for check
iron_api_url = "http://localhost:8080/v1/document-services/ping"
#wazuh api requests url
wazuh_api_url = "http://wazuh-manager:55000/alerts"
# API authentication if required
headers = {'Authorization': 'Bearer YOUR_API_KEY'}
# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()
# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

import requests
# API URLs for check
iron_api_url = "http://localhost:8080/v1/document-services/ping"
#wazuh api requests url
wazuh_api_url = "http://wazuh-manager:55000/alerts"
# API authentication if required
headers = {'Authorization': 'Bearer YOUR_API_KEY'}
# Fetch events from IronSecureDoc
response = requests.get(iron_api_url, headers=headers)
events = response.json()
# Forward events to Wazuh
for event in events:
    alert = {
        "rule": {
            "id": 100002,
            "level": 5,
            "description": event.get("description", "IronSecureDoc event")
        },
        "data": event
    }
    requests.post(wazuh_api_url, json=alert, headers=headers)

#API URLs for check
#wazuh api requests url
#API authentication if required
#Fetch events from IronSecureDoc
#Forward events to Wazuh
'INSTANT VB TODO TASK: The following line uses invalid syntax:
'import requests iron_api_url = "http://localhost:8080/v1/document-services/ping" wazuh_api_url = "http://wazuh-manager:55000/alerts" headers = {'Authorization': 'Bearer YOUR_API_KEY'} response = requests.@get(iron_api_url, headers=headers) events = response.json() for event in events: alert = { "rule": { "id": 100002, "level": 5, "description": event.@get("description", "IronSecureDoc event") }, "data": event } requests.post(wazuh_api_url, json=alert, headers=headers)

Exécutez ce script périodiquement(par exemple, comme une tâche cron)pour maintenir Wazuh à jour avec les derniers événements de sécurité documentaires. Ici, nous utilisons une requête normale pour vérifier l'API. Le code ci-dessus déclenchera également la demande d'alerte vers Wazuh. Pour en savoir plus sur la documentation de l'API Wazuh, référez-vous àPage API.

Conclusion

L'intégration de Wazuh avec IronSecureDoc offre une solution de sécurité puissante qui associe la détection en temps réel des menaces à une protection avancée des documents. Wazuh analyse, surveille et alerte sur les événements système et applicatifs, ce qui est réalisé en conjonction avec ce qu'IronSecureDoc offre en termes de capacités de cryptage, de validation de signature et de conformité. Ensemble, ils offrent une visibilité bien plus approfondie sur les activités liées à la sécurisation des documents, à la détection des accès non autorisés et à l'application de la conformité aux normes organisationnelles et réglementaires.

Grâce à la surveillance centralisée utilisant Wazuh et aux fonctionnalités spécifiques à la sécurité des documents avec IronSecureDoc, les organisations peuvent sécuriser les informations sensibles, simplifier les processus de conformité et se préparer de manière proactive face à l'évolution des menaces de sécurité. Bien sûr, l'intégration améliore alors la posture globale de sécurité tout en offrant aux entreprises une meilleure position offensive dans leurs réponses aux menaces de cybersécurité changeantes.

Avec l'aide de l'API REST IronSecureDoc, l'impression sécurisée et la gestion efficace du format PDF sont désormais facilement intégrées dans les applications créées par les développeurs de systèmes web, mobiles et d'entreprise. Pour en savoir plus sur la licence deIronSecureDoc, visitez la page des licences. Pour obtenir des informations sur les produits de Iron Software, suivez la suite de bibliothèques.page.