Plus d'alertes d'attaque wazuuh/kibana

Signaler
Messages postés
31
Date d'inscription
vendredi 12 juillet 2019
Statut
Membre
Dernière intervention
21 novembre 2020
-
salut à tous
de nouveau confiné et donc du temps, nous avons décidé de refaire notre réseau perso (par-feu, serveur et PC), le tout superviser avec grafana et wazuh/kibana. Mais petit probleme avec wazuh, je m'explique.

Aprés l'installation fraiche du serveur web, nous avons fais des scans de vulnérabilité sur les sites et le system, et les scan etaient bien visible sur l'interface kibana. L'outil "nikto" à lui tout seul genere beaucoup d'alerte.
Aprés sa nous avons corrigés les problemes, refais un audit, et toujours autant d'alerte. jusqu'ici tout vas bien.

hier installation de nextcloud sur le serveur web, et aprés install + config, je lance nikto sur nextcloud tout en surveillant kibana, et là aucune alerte, rien dans kibana. je lance nikto sur un serveur test ou l'agent wazuh est installé, aucune alerte non plus. j'essaye nmap est sqlmap, aucune alerte non plus.
mais en cas de màj, de modification de fichier, branchement usb sur une des machine, l'info et affiché par kibana, mais plus rien en cas d'audit.

nous avons tester en local et depuis un réseau externe, et toujours rien. en local nous avons laisser passer tout le traffic des par-feu entre le pc d'audit et le serveur.
au niveau de filebeat, elasticsearch wazuh-manager et api, tout fonctionne, les config n'ont pas bouger.

j'ai tenter de migrer à une version supérieure (3.10) mais cela n'a rien changer. pas essayer la derniere version de wazuh/kibana car un peu de mal avec la nouvelle interface kibana.

j'ajoute une capture et certaines choses en rouge ont l'air désactivé, et c'est que je n'ai pas fais attention à sa quand toutes les alertes etaient bien affichés.