ITSkillsCenter
Cybersécurité

Wazuh FIM et scan vulnérabilités CVE : tutoriel pratique 2026

5 min de lecture

📍 Article principal du cluster : Wazuh 2026 : guide complet.

Wazuh installé, agents déployés. Étape suivante : activer FIM (File Integrity Monitoring) et scan vulnérabilités CVE pour transformer monitoring passif en détection proactive. Ce tutoriel détaille les configurations validées en production.

Prérequis

  • Wazuh Manager + agents en production.
  • Niveau attendu : intermédiaire/avancé.
  • Temps estimé : 1 heure.

FIM : surveillance fichiers critiques

Étape 1 — Comprendre la stratégie

FIM surveille modifications (create, modify, delete) sur fichiers/dossiers définis. Alerte en temps réel ou quotidienne. Critique pour :

  • Fichiers système : /etc/passwd, /etc/shadow, /etc/sudoers.
  • Configurations : /etc/ssh/sshd_config, /etc/nginx/, /etc/caddy/.
  • Code applicatif : /var/www/, /srv/apps/.
  • Logs sensibles : /var/log/auth.log.

Étape 2 — Configuration FIM dans ossec.conf

Sur chaque agent (ou via central config Manager) :

nano /var/ossec/etc/ossec.conf
<syscheck>
  <disabled>no</disabled>
  <frequency>43200</frequency>  <!-- 12h scan complet -->
  
  <!-- Real-time monitoring -->
  <directories realtime="yes" check_all="yes" report_changes="yes">/etc</directories>
  <directories realtime="yes" check_all="yes" report_changes="yes">/var/www</directories>
  <directories realtime="yes" check_all="yes">/srv/apps</directories>
  
  <!-- Scan régulier -->
  <directories check_all="yes">/usr/bin</directories>
  <directories check_all="yes">/usr/sbin</directories>
  
  <!-- Exclusions -->
  <ignore>/etc/mtab</ignore>
  <ignore>/etc/hosts.deny</ignore>
  <ignore type="sregex">.log$|.swp$|.tmp$</ignore>
  
  <!-- Audit Linux : qui a modifié -->
  <whodata>yes</whodata>
</syscheck>
systemctl restart wazuh-agent

Étape 3 — Test FIM

echo "test" >> /etc/test-fim.txt
# Attendre 30 secondes

Dashboard → Modules → Integrity Monitoring → voir alerte.

Étape 4 — Alerte critique sur fichiers sensibles

Custom rule pour alerter level 12 sur /etc/sudoers :

# /var/ossec/etc/rules/local_rules.xml
<group name="syscheck,">
  <rule id="100100" level="12">
    <if_sid>550,553,554</if_sid>
    <match>/etc/sudoers</match>
    <description>Critical: sudoers file modified</description>
    <mitre>
      <id>T1548.003</id>
    </mitre>
  </rule>
</group>

Vulnerability scanning

Étape 5 — Activer Vulnerability Detector

nano /var/ossec/etc/ossec.conf
<vulnerability-detector>
  <enabled>yes</enabled>
  <interval>5m</interval>
  <run_on_start>yes</run_on_start>
  
  <provider name="canonical">
    <enabled>yes</enabled>
    <os>jammy</os>
    <os>noble</os>
    <update_interval>1h</update_interval>
  </provider>
  
  <provider name="debian">
    <enabled>yes</enabled>
    <os>bookworm</os>
  </provider>
  
  <provider name="redhat">
    <enabled>yes</enabled>
  </provider>
  
  <provider name="nvd">
    <enabled>yes</enabled>
    <update_from_year>2018</update_from_year>
  </provider>
</vulnerability-detector>
systemctl restart wazuh-manager

Étape 6 — Premier scan

Attendre 30-60 minutes pour téléchargement des feeds NVD + Canonical + Debian.

Dashboard → Modules → Vulnerabilities → voir tous CVE détectés par endpoint.

Étape 7 — Filtrer par sévérité

Dashboard offre filtres : Critical, High, Medium, Low. Pour PME, prioriser Critical et High avec score CVSS > 7.

Étape 8 — Action sur CVE détecté

Pour chaque CVE Critical :

  1. Lire le report : package affecté, version actuelle, version corrigée.
  2. Vérifier patch disponible : apt list --upgradable.
  3. Planifier patch dans fenêtre maintenance.
  4. Appliquer et vérifier nouveau scan.

Erreurs fréquentes

Erreur Cause Solution
FIM CPU élevé Trop de fichiers scannés realtime Whitelist /var/log et /tmp
Whodata ne marche pas auditd absent apt install auditd
Vulnerability feed manquant Internet bloqué Manager UFW allow outbound 443
NVD scan slow Première fois Patientez 1-2 heures
Faux positifs CVE Package backporté distro Whitelist par CVE ID
FIM alertes inondées Logs apps en /var/log/apps Exclure pattern

Adaptation au contexte ouest-africain

Trois précisions. Patch management : pour PME africaine sans équipe dédiée, programme patch tuesday + alerte Wazuh = workflow simple. Conformité ARTCI : rapport CVE mensuel + actions patch documentées = preuve diligence pour audit. Code custom monitoring : FIM sur /srv/apps détecte si attaquant injecte webshell après compromission.

Tutoriels frères

FAQ

Differential FIM coût RAM ? 50-100 Mo par 100 000 fichiers monitorés.

Scan vulnerability fréquence ? Toutes les 5 minutes interval. Mais nouveau CVE = re-scan endpoint.

Whitelist CVE faux positif ? Yes via custom rule level 0 sur CVE ID.

NIST CVSS v4 ? Wazuh 4.10+ supporte CVSS v3.1, v4 en bêta.

Active Directory FIM Windows ? Oui, monitoring registry + fichiers GPO.

Pour aller plus loin

Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires