Schulung Wazuh Advanced Operations und Engineering

• Einführung in die erweiterte Arbeit mit Wazuh
  • Einordnung von Wazuh als Security-Plattform für Detection, Monitoring, Compliance und Reaktion
  • Abgrenzung zwischen Grundlagenbetrieb und produktiver Weiterentwicklung
  • Typische Einsatzszenarien in mittelgroßen und größeren IT-Umgebungen
• Architektur, Komponenten und Betriebsmodelle
  • Aktuelle Plattformarchitektur mit Wazuh Server, Wazuh Indexer, Wazuh Dashboard und Agents
  • Unterschiede zwischen Single-Node, Cluster, verteilten Umgebungen und Wazuh Cloud
  • Skalierung, Hochverfügbarkeit, Resilienz und Betriebsgrenzen
  • Einordnung von Mandantenfähigkeit, Verantwortlichkeiten und Betriebsrollen
• Agent Enrollment, Gruppen und zentrale Steuerung
  • Sichere Agent-Anbindung und Lifecycle-Management
  • Strukturierung von Umgebungen über Agent-Gruppen
  • Zentrale Konfiguration mit agent.conf
  • Typische Anpassungen für Server, Clients, DMZ-Systeme, Cloud-Instanzen und Sonderrollen
  • Praxisübung: Mehrere Gruppen mit differenzierter zentraler Konfiguration aufbauen
• Log Data Collection und Datenaufnahme
  • Onboarding von Betriebssystem-, Applikations- und Infrastruktur-Logs
  • Planung sinnvoller Datenquellen und Vermeidung unnötiger Rauschdaten
  • Besondere Anforderungen bei Windows-Events, Syslog, Cloud-Logs und anwendungsspezifischen Quellen
  • Praxisübung: Neue Logquelle anbinden und erste Auswertung vorbereiten
• Decoders, Rules und Detection Engineering
  • Aufbau von Decoders zur Strukturierung und Normalisierung von Logdaten
  • Erstellung und Anpassung von Rules für organisationsspezifische Use Cases
  • Priorisierung, Schwellwerte, Korrelation und Alert-Tuning
  • Validierung mit Wazuh-Logtest
  • Praxisübung: Proprietären Logtyp dekodieren und Alarmierungslogik ableiten
• Security Configuration Assessment (SCA)
  • Arbeitsweise des SCA-Moduls auf Basis von Policy-Dateien
  • Prüfung von Dateien, Verzeichnissen, Registry-Einträgen, Prozessen und Konfigurationen
  • Typische Anpassungen bestehender Policies und Aufbau eigener Prüfregeln
  • Verteilung über Gruppen und organisatorische Sonderfälle
  • Praxisübung: Eigene SCA-Policy erstellen und auf ein Zielsystem ausrollen
• File Integrity Monitoring (FIM)
  • Überwachung kritischer Dateien und Verzeichnisse
  • Auswahl sinnvoller Monitoring-Bereiche und Vermeidung unnötiger Last
  • Bewertung von Änderungen im Kontext von Hardening, Incident Detection und Compliance
  • Praxisübung: Kritische Konfigurationsbereiche überwachen und Alerts bewerten
• Vulnerability Detection und Systeminventarisierung
  • Zusammenhang zwischen Inventarisierung, Softwareständen und Schwachstellenerkennung
  • Interpretation von Findings im technischen und organisatorischen Kontext
  • Umgang mit Priorisierung, Ausnahmen und abgestuften Reaktionsstrategien
  • Praxisübung: Schwachstellenlage erfassen, priorisieren und dokumentieren
• Malware Detection, Command Monitoring und ergänzende Detektionspfade
  • Einordnung zusätzlicher Überwachungs- und Erkennungsmechanismen
  • Nutzung von Befehlsausgaben und Indikatoren für spezifische Sicherheitsfälle
  • Kombination mehrerer Wazuh-Funktionen für belastbare Detektionsketten
  • Praxisübung: Erkennungslogik für einen konkreten Sicherheitsfall modellieren
• Active Response und kontrollierte Automatisierung
  • Grundlagen automatisierter Reaktionen auf sicherheitsrelevante Ereignisse
  • Typische Einsatzmuster für Blockierung, Isolierung und Eskalation
  • Grenzen automatisierter Gegenmaßnahmen und organisatorische Freigabemodelle
  • Praxisübung: Active-Response-Szenario definieren und bewerten
• Dashboard, Auswertungen und operative Nutzung
  • Nutzung des Dashboards zur Analyse, Visualisierung und Administration
  • Aufbau zielgruppengerechter Sichten für Betrieb, Security und Management
  • Grundlagen eigener Auswertungen und Dashboards
  • Interpretation von Ergebnissen für Audits, Reviews und Security Operations
• Rollen, Rechte, RBAC und SSO
  • Sichere Trennung von Verantwortlichkeiten im Wazuh-Betrieb
  • Aufbau geeigneter Rollenmodelle für Administratoren, Analysten und Read-only-Nutzer
  • Einordnung von Single Sign-On und organisatorischen Zugriffsmodellen
  • Praxisübung: Rollenmodell für ein Beispielunternehmen entwerfen
• API, Integrationen und Automatisierung
  • Nutzung der API für Abfragen, Betriebsunterstützung und Integrationsszenarien
  • Anbindung externer Prozesse und Werkzeuge
  • Einordnung von Benachrichtigung, Ticketing und Orchestrierung
  • Praxisübung: Technisches Integrationsszenario mit Wazuh entwerfen
• Cloud Security mit Wazuh
  • Sicherheitsmonitoring in AWS-, Azure-, GCP- und Office-365-Umgebungen
  • Unterscheidung zwischen Endpoint-Sicht und Cloud-Service-Sicht
  • Typische Logquellen, Integrationsmuster und organisatorische Herausforderungen
  • Praxisübung: Cloud-Szenario analysieren und eine Anbindungsstrategie definieren
• Container Security und Kubernetes
  • Einordnung containerisierter Umgebungen in den Wazuh-Betrieb
  • Überwachung von Container-Logs, Laufzeitereignissen und Kubernetes-Ressourcen
  • Architekturentscheidungen für DaemonSet-, Host- und Workload-nahe Ansätze
  • Praxisübung: Sicherheitsanforderungen für ein Kubernetes-Szenario modellieren
• Datenschutz, Compliance und Governance
  • Umgang mit sicherheitsrelevanten Logdaten unter Datenschutz- und Governance-Gesichtspunkten
  • Einordnung von Wazuh in Compliance-nahe Prüf- und Nachweisprozesse
  • Organisatorische Leitplanken für einen regelkonformen Betrieb
• Best Practices für produktive Umgebungen
  • Strukturierte Einführung neuer Use Cases
  • Tuning gegen Alarmüberflutung und Fehlalarme
  • Pflege benutzerdefinierter Konfigurationen
  • Upgrade- und Änderungsstrategien für stabile Betriebsprozesse
• Praktische Abschlussübung
  • Aufgabe: In Gruppenarbeit entwickeln die Teilnehmenden ein vollständiges Zielbild für eine produktive Wazuh-Umgebung in einem hybriden Unternehmensszenario
  • Ziel: Die Teilnehmenden verbinden Architektur, Agent-Governance, Datenaufnahme, Detection Engineering, SCA, FIM, Vulnerability Detection, Active Response sowie Cloud- und Container-Anbindung zu einem konsistenten Gesamtkonzept
  • Ergebnis: Präsentation des Konzepts inklusive technischer Begründungen, Betriebsmodell und Maßnahmen zur Qualitätssicherung

LernzieleIn diesem Intensivseminar erwerben Sie umfassende Kenntnisse über den professionellen Einsatz von Wazuh als Security-Plattform. Sie lernen, Architekturentscheidungen fundiert zu treffen, zentrale Sicherheitsfunktionen zu konfigurieren und organisationsspezifische Detection-Logik zu entwickeln. Darüber hinaus verstehen Sie, wie Wazuh in moderne Infrastrukturmodelle integriert wird und wie Security Monitoring, Compliance und operative Sicherheitsprozesse miteinander verbunden werden.ZielgruppenDieses Seminar richtet sich an fortgeschrittene Administratoren, Security Engineers, SOC-Teams, Plattformverantwortliche, DevOps- und Cloud-Teams sowie an Unternehmen, die Wazuh als produktive Security-Plattform ausbauen möchten. Teilnahmevoraussetzungen: Sie verfügen über solide Kenntnisse in Linux, Netzwerken und Log-Management sowie über erste praktische Erfahrungen mit Wazuh oder vergleichbaren Security-Monitoring-Plattformen. Ein grundlegendes Verständnis für Security Monitoring, Compliance-Anforderungen und moderne Infrastrukturmodelle ist hilfreich.