Projets
CybersécuritéDevSecOps

Wazuh SIEM/XDR, surveillance de sécurité sur VPS personnel

Déploiement de Wazuh sur VPS ARM64 pour comprendre comment fonctionne un SIEM/XDR en conditions réelles. Collecte de logs, détection d'intrusion et premier regard sur l'audit de conformité.

Par Sehenonirina Elisa Randriamasinoro, M1 Cybersécurité des Systèmes Embarqués, UBS Lorient

Code source20269 stack
[WAZUH][SIEM][XDR][SCA][DOCKER][UBUNTU][LINUX][ORACLE CLOUD][ARM64]

Contexte

Wazuh est revenu souvent dans mes lectures sur la détection d'intrusion et la supervision de sécurité. Plutôt que de le lire en théorie, j'ai voulu le faire tourner sur quelque chose de réel : mon VPS ARM64, qui héberge déjà mon portfolio, mon VPN WireGuard et quelques services.

L'idée n'était pas de produire un rapport d'audit parfait, mais de comprendre ce qu'un SIEM voit quand il surveille un système en production.

Architecture

VPS Oracle Cloud (ARM64 — Ubuntu 24.04)
│
├── Wazuh Manager        ← corrélation des alertes, règles de détection
├── Wazuh Indexer        ← stockage des événements (OpenSearch)
└── Wazuh Dashboard      ← interface web (VPN-only via WireGuard)

Agent Wazuh
 ├── collecte de logs système, auth, Docker
 └── SCA Module          ← vérifications de conformité CIS

Le dashboard n'est pas exposé sur Internet — accessible uniquement depuis le VPN WireGuard. C'est cohérent avec l'approche du reste du homelab.

Ce que Wazuh remonte

Une fois l'agent actif, le dashboard devient intéressant rapidement. Quelques exemples concrets sur mon serveur :

  • Tentatives de connexion SSH sur des ports non standard détectées et classifiées
  • Alertes sur des modifications de fichiers système (/etc/passwd, /etc/shadow)
  • Activité Docker : création et destruction de conteneurs tracée en temps réel
  • Authentifications réussies et échouées avec géolocalisation des IPs sources

Ce n'est pas spectaculaire en isolation, mais voir ces événements corrélés dans un seul endroit change la façon dont on lit un système.

La vue SCA

Le module SCA lance des vérifications automatiques contre le CIS Ubuntu 24.04 LTS Benchmark.

Résultat SCA Wazuh — CIS Ubuntu 24.04 LTS Benchmark sur mon VPS
Résultat SCA Wazuh — CIS Ubuntu 24.04 LTS Benchmark sur mon VPS

La capture montre le résultat sur mon serveur : 118 passed, 119 failed, score de 49 %.

Ce chiffre n'est pas une alerte en soi. Le Benchmark CIS est exigeant par construction, et beaucoup de contrôles concernent des configurations qui n'ont pas de sens pour tous les contextes. Ce qui est utile, c'est de lire pourquoi un contrôle échoue et décider si ça compte pour ton cas précis.

C'est ce travail de lecture et de priorisation qui m'intéresse, pas la course au 100 %.

Ce que j'en retiens

Déployer un SIEM sur son propre infra oblige à prendre des décisions concrètes : qu'est-ce qu'on surveille, à quel niveau de bruit on tolère, qu'est-ce qu'on considère comme une vraie alerte. Ce sont exactement les questions qu'on se pose en SOC ou en réponse à incident, juste à plus petite échelle.

Projets similaires

Tous les projets
DevSecOpsCybersécurité

Indian Food, Landing page DevSecOps

Un site vitrine de restaurant déployé en production avec une chaîne DevSecOps complète, analyse statique, scan de dépendances, tests dynamiques et déploiement automatisé sur Oracle Cloud ARM64.

2026
DevSecOpsCybersécurité

Umami, Analytics self-hosted, dashboard VPN-only

Web analytics sans cookie auto-hébergé sur VPS ARM64, avec une architecture réseau qui sépare la collecte publique du dashboard, ce dernier étant accessible uniquement via VPN WireGuard.

2026
CybersécuritéDevSecOps

VPN WireGuard, accès distant chiffré & frontière de confiance

Un VPN WireGuard auto-hébergé sur VPS ARM64 qui transforme un serveur isolé en réseau privé multi-appareils, et sert de frontière de confiance pour exposer des services d'administration en interne uniquement.

2026