Schulung Wazuh Advanced Operations und Engineering

Seminarziel

In diesem Intensivseminar erwerben Sie umfassende Kenntnisse über den professionellen Einsatz von Wazuh als Security-Plattform. Sie lernen, Architekturentscheidungen fundiert zu treffen, zentrale Sicherheitsfunktionen zu konfigurieren und organisationsspezifische Detection-Logik zu entwickeln. Darüber hinaus verstehen Sie, wie Wazuh in moderne Infrastrukturmodelle integriert wird und wie Security Monitoring, Compliance und operative Sicherheitsprozesse miteinander verbunden werden.

Inhalt

• Einführung in die erweiterte Arbeit mit Wazuh
  • Einordnung von Wazuh als Security-Plattform für Detection, Monitoring, Compliance und Reaktion
  • Abgrenzung zwischen Grundlagenbetrieb und produktiver Weiterentwicklung
  • Typische Einsatzszenarien in mittelgroßen und größeren IT-Umgebungen
• Architektur, Komponenten und Betriebsmodelle
  • Aktuelle Plattformarchitektur mit Wazuh Server, Wazuh Indexer, Wazuh Dashboard und Agents
  • Unterschiede zwischen Single-Node, Cluster, verteilten Umgebungen und Wazuh Cloud
  • Skalierung, Hochverfügbarkeit, Resilienz und Betriebsgrenzen
  • Einordnung von Mandantenfähigkeit, Verantwortlichkeiten und Betriebsrollen
• Agent Enrollment, Gruppen und zentrale Steuerung
  • Sichere Agent-Anbindung und Lifecycle-Management
  • Strukturierung von Umgebungen über Agent-Gruppen
  • Zentrale Konfiguration mit agent.conf
  • Typische Anpassungen für Server, Clients, DMZ-Systeme, Cloud-Instanzen und Sonderrollen
  • Praxisübung: Mehrere Gruppen mit differenzierter zentraler Konfiguration aufbauen
• Log Data Collection und Datenaufnahme
  • Onboarding von Betriebssystem-, Applikations- und Infrastruktur-Logs
  • Planung sinnvoller Datenquellen und Vermeidung unnötiger Rauschdaten
  • Besondere Anforderungen bei Windows-Events, Syslog, Cloud-Logs und anwendungsspezifischen Quellen
  • Praxisübung: Neue Logquelle anbinden und erste Auswertung vorbereiten
• Decoders, Rules und Detection Engineering
  • Aufbau von Decoders zur Strukturierung und Normalisierung von Logdaten
  • Erstellung und Anpassung von Rules für organisationsspezifische Use Cases
  • Priorisierung, Schwellwerte, Korrelation und Alert-Tuning
  • Validierung mit Wazuh-Logtest
  • Praxisübung: Proprietären Logtyp dekodieren und Alarmierungslogik ableiten
• Security Configuration Assessment (SCA)
  • Arbeitsweise des SCA-Moduls auf Basis von Policy-Dateien
  • Prüfung von Dateien, Verzeichnissen, Registry-Einträgen, Prozessen und Konfigurationen
  • Typische Anpassungen bestehender Policies und Aufbau eigener Prüfregeln
  • Verteilung über Gruppen und organisatorische Sonderfälle
  • Praxisübung: Eigene SCA-Policy erstellen und auf ein Zielsystem ausrollen
• File Integrity Monitoring (FIM)
  • Überwachung kritischer Dateien und Verzeichnisse
  • Auswahl sinnvoller Monitoring-Bereiche und Vermeidung unnötiger Last
  • Bewertung von Änderungen im Kontext von Hardening, Incident Detection und Compliance
  • Praxisübung: Kritische Konfigurationsbereiche überwachen und Alerts bewerten
• Vulnerability Detection und Systeminventarisierung
  • Zusammenhang zwischen Inventarisierung, Softwareständen und Schwachstellenerkennung
  • Interpretation von Findings im technischen und organisatorischen Kontext
  • Umgang mit Priorisierung, Ausnahmen und abgestuften Reaktionsstrategien
  • Praxisübung: Schwachstellenlage erfassen, priorisieren und dokumentieren
• Malware Detection, Command Monitoring und ergänzende Detektionspfade
  • Einordnung zusätzlicher Überwachungs- und Erkennungsmechanismen
  • Nutzung von Befehlsausgaben und Indikatoren für spezifische Sicherheitsfälle
  • Kombination mehrerer Wazuh-Funktionen für belastbare Detektionsketten
  • Praxisübung: Erkennungslogik für einen konkreten Sicherheitsfall modellieren
• Active Response und kontrollierte Automatisierung
  • Grundlagen automatisierter Reaktionen auf sicherheitsrelevante Ereignisse
  • Typische Einsatzmuster für Blockierung, Isolierung und Eskalation
  • Grenzen automatisierter Gegenmaßnahmen und organisatorische Freigabemodelle
  • Praxisübung: Active-Response-Szenario definieren und bewerten
• Dashboard, Auswertungen und operative Nutzung
  • Nutzung des Dashboards zur Analyse, Visualisierung und Administration
  • Aufbau zielgruppengerechter Sichten für Betrieb, Security und Management
  • Grundlagen eigener Auswertungen und Dashboards
  • Interpretation von Ergebnissen für Audits, Reviews und Security Operations
• Rollen, Rechte, RBAC und SSO
  • Sichere Trennung von Verantwortlichkeiten im Wazuh-Betrieb
  • Aufbau geeigneter Rollenmodelle für Administratoren, Analysten und Read-only-Nutzer
  • Einordnung von Single Sign-On und organisatorischen Zugriffsmodellen
  • Praxisübung: Rollenmodell für ein Beispielunternehmen entwerfen
• API, Integrationen und Automatisierung
  • Nutzung der API für Abfragen, Betriebsunterstützung und Integrationsszenarien
  • Anbindung externer Prozesse und Werkzeuge
  • Einordnung von Benachrichtigung, Ticketing und Orchestrierung
  • Praxisübung: Technisches Integrationsszenario mit Wazuh entwerfen
• Cloud Security mit Wazuh
  • Sicherheitsmonitoring in AWS-, Azure-, GCP- und Office-365-Umgebungen
  • Unterscheidung zwischen Endpoint-Sicht und Cloud-Service-Sicht
  • Typische Logquellen, Integrationsmuster und organisatorische Herausforderungen
  • Praxisübung: Cloud-Szenario analysieren und eine Anbindungsstrategie definieren
• Container Security und Kubernetes
  • Einordnung containerisierter Umgebungen in den Wazuh-Betrieb
  • Überwachung von Container-Logs, Laufzeitereignissen und Kubernetes-Ressourcen
  • Architekturentscheidungen für DaemonSet-, Host- und Workload-nahe Ansätze
  • Praxisübung: Sicherheitsanforderungen für ein Kubernetes-Szenario modellieren
• Datenschutz, Compliance und Governance
  • Umgang mit sicherheitsrelevanten Logdaten unter Datenschutz- und Governance-Gesichtspunkten
  • Einordnung von Wazuh in Compliance-nahe Prüf- und Nachweisprozesse
  • Organisatorische Leitplanken für einen regelkonformen Betrieb
• Best Practices für produktive Umgebungen
  • Strukturierte Einführung neuer Use Cases
  • Tuning gegen Alarmüberflutung und Fehlalarme
  • Pflege benutzerdefinierter Konfigurationen
  • Upgrade- und Änderungsstrategien für stabile Betriebsprozesse
• Praktische Abschlussübung
  • Aufgabe: In Gruppenarbeit entwickeln die Teilnehmenden ein vollständiges Zielbild für eine produktive Wazuh-Umgebung in einem hybriden Unternehmensszenario
  • Ziel: Die Teilnehmenden verbinden Architektur, Agent-Governance, Datenaufnahme, Detection Engineering, SCA, FIM, Vulnerability Detection, Active Response sowie Cloud- und Container-Anbindung zu einem konsistenten Gesamtkonzept
  • Ergebnis: Präsentation des Konzepts inklusive technischer Begründungen, Betriebsmodell und Maßnahmen zur Qualitätssicherung