Wazuh Advanced - Security Monitoring, Compliance und Cloud-Integration

Seminarziel

In diesem Seminar vertiefen Sie Ihre Kenntnisse über den produktiven Einsatz von Wazuh in modernen IT-Infrastrukturen. Sie lernen, zentrale Sicherheitsfunktionen gezielt zu konfigurieren, eigene Detection-Regeln zu entwickeln und Wazuh an individuelle Anforderungen anzupassen. Darüber hinaus verstehen Sie, wie Hardening-Prüfungen, File Integrity Monitoring und Schwachstellenerkennung im Zusammenspiel mit Security Operations und Compliance eingesetzt werden können.

Inhalt

• Architektur und Betriebsmodelle von Wazuh
  • Aktuelle Plattformarchitektur mit Wazuh Server, Wazuh Indexer, Wazuh Dashboard und Agents
  • Unterschiede zwischen Einzelserver, Cluster, hybriden Szenarien und Wazuh Cloud
  • Einordnung von Self-Managed- und Managed-Service-Modellen
• Agent-Verwaltung und zentrale Konfiguration
  • Enrollment, sichere Anbindung und Strukturierung über Agent-Gruppen
  • Nutzung von agent.conf zur zentralen Steuerung unterschiedlicher Agent-Typen
  • Typische Anpassungen für Linux-, Windows-, Server-, Client- und Cloud-Systeme
• Security Configuration Assessment (SCA)
  • Funktionsweise policybasierter Konfigurationsprüfungen
  • Typische Anpassungen vorhandener Policies für Unternehmensstandards
  • Erstellung und Verteilung eigener SCA-Policies
  • Praxisübung: Eigene Hardening-Prüfung definieren, ausrollen und auswerten
• File Integrity Monitoring und Systemtransparenz
  • Überwachung kritischer Dateien, Verzeichnisse und Konfigurationsobjekte
  • Auswahl sinnvoller Pfade, Ausschlüsse und Priorisierungen
  • Zusammenspiel mit Asset- und Systeminformationen
• Praxisübung: Kritische Dateiänderungen erfassen und gezielt bewerten
• Vulnerability Detection und Exposure Management
  • Zusammenhang zwischen Softwareinventar und Schwachstellenerkennung
  • Priorisierung von Findings nach Relevanz und Kontext
  • Interpretation von Ergebnissen für Betrieb, Security und Compliance
  • Praxisübung: Schwachstellenlage eines Systems analysieren und Maßnahmen ableiten
• Rules, Decoders und Detection-Tuning
  • Aufbau und Nutzen benutzerdefinierter Decoders und Rules
  • Vorgehen bei proprietären Logformaten und neuen Use Cases
  • Testen und Validieren mit Wazuh-Logtest
  • Praxisübung: Eigenen Decoder und passende Rule erstellen
• Active Response und Integration in Betriebsprozesse
  • Automatisierte Reaktionen auf sicherheitsrelevante Ereignisse
  • Abwägung zwischen Alarmierung, Quarantäne, Sperrung und Eskalation
  • Einbindung in Security- und Incident-Prozesse
• Wazuh in Cloud- und Container-Umgebungen
  • Einordnung von AWS-, Azure-, GCP- und Office-365-Szenarien
  • Überwachung containerisierter Workloads und Kubernetes-Umgebungen
  • Typische Grenzen, Stolperfallen und Architekturentscheidungen
• Rollen, Rechte und sichere Betriebsorganisation
  • RBAC, Dashboard-Zugriffe und organisatorische Trennung von Verantwortlichkeiten
  • Überblick zu SSO und sicheren Zugriffsmodellen
  • Best Practices für den produktiven Betrieb
• Praktische Abschlussübung
  • Aufgabe: In Gruppenarbeit entwickeln die Teilnehmenden ein technisches Zielbild für eine erweiterte Wazuh-Umgebung in einem realistischen Unternehmensszenario
  • Ziel: Die Teilnehmenden strukturieren Architektur, Agent-Gruppen, SCA, FIM, Vulnerability Detection, Custom Rules und Cloud-Anbindung in einem konsistenten Gesamtkonzept
  • Ergebnis: Vorstellung der Lösung mit Begründung der Konfigurations- und Betriebsentscheidungen