- Architektur und Betriebsmodelle von Wazuh
- Aktuelle Plattformarchitektur mit Wazuh Server, Wazuh Indexer, Wazuh Dashboard und Agents
- Unterschiede zwischen Einzelserver, Cluster, hybriden Szenarien und Wazuh Cloud
- Einordnung von Self-Managed- und Managed-Service-Modellen
- Agent-Verwaltung und zentrale Konfiguration
- Enrollment, sichere Anbindung und Strukturierung über Agent-Gruppen
- Nutzung von agent.conf zur zentralen Steuerung unterschiedlicher Agent-Typen
- Typische Anpassungen für Linux-, Windows-, Server-, Client- und Cloud-Systeme
- Security Configuration Assessment (SCA)
- Funktionsweise policybasierter Konfigurationsprüfungen
- Typische Anpassungen vorhandener Policies für Unternehmensstandards
- Erstellung und Verteilung eigener SCA-Policies
- Praxisübung: Eigene Hardening-Prüfung definieren, ausrollen und auswerten
- File Integrity Monitoring und Systemtransparenz
- Überwachung kritischer Dateien, Verzeichnisse und Konfigurationsobjekte
- Auswahl sinnvoller Pfade, Ausschlüsse und Priorisierungen
- Zusammenspiel mit Asset- und Systeminformationen
- Praxisübung: Kritische Dateiänderungen erfassen und gezielt bewerten
- Vulnerability Detection und Exposure Management
- Zusammenhang zwischen Softwareinventar und Schwachstellenerkennung
- Priorisierung von Findings nach Relevanz und Kontext
- Interpretation von Ergebnissen für Betrieb, Security und Compliance
- Praxisübung: Schwachstellenlage eines Systems analysieren und Maßnahmen ableiten
- Rules, Decoders und Detection-Tuning
- Aufbau und Nutzen benutzerdefinierter Decoders und Rules
- Vorgehen bei proprietären Logformaten und neuen Use Cases
- Testen und Validieren mit Wazuh-Logtest
- Praxisübung: Eigenen Decoder und passende Rule erstellen
- Active Response und Integration in Betriebsprozesse
- Automatisierte Reaktionen auf sicherheitsrelevante Ereignisse
- Abwägung zwischen Alarmierung, Quarantäne, Sperrung und Eskalation
- Einbindung in Security- und Incident-Prozesse
- Wazuh in Cloud- und Container-Umgebungen
- Einordnung von AWS-, Azure-, GCP- und Office-365-Szenarien
- Überwachung containerisierter Workloads und Kubernetes-Umgebungen
- Typische Grenzen, Stolperfallen und Architekturentscheidungen
- Rollen, Rechte und sichere Betriebsorganisation
- RBAC, Dashboard-Zugriffe und organisatorische Trennung von Verantwortlichkeiten
- Überblick zu SSO und sicheren Zugriffsmodellen
- Best Practices für den produktiven Betrieb
- Praktische Abschlussübung
- Aufgabe: In Gruppenarbeit entwickeln die Teilnehmenden ein technisches Zielbild für eine erweiterte Wazuh-Umgebung in einem realistischen Unternehmensszenario
- Ziel: Die Teilnehmenden strukturieren Architektur, Agent-Gruppen, SCA, FIM, Vulnerability Detection, Custom Rules und Cloud-Anbindung in einem konsistenten Gesamtkonzept
- Ergebnis: Vorstellung der Lösung mit Begründung der Konfigurations- und Betriebsentscheidungen
LernzieleIn diesem Seminar vertiefen Sie Ihre Kenntnisse über den produktiven Einsatz von Wazuh in modernen IT-Infrastrukturen. Sie lernen, zentrale Sicherheitsfunktionen gezielt zu konfigurieren, eigene Detection-Regeln zu entwickeln und Wazuh an individuelle Anforderungen anzupassen. Darüber hinaus verstehen Sie, wie Hardening-Prüfungen, File Integrity Monitoring und Schwachstellenerkennung im Zusammenspiel mit Security Operations und Compliance eingesetzt werden können.
ZielgruppenDieses Seminar richtet sich an Administratoren, Security Engineers, SOC-nahe Teams, DevOps-Verantwortliche sowie technische Entscheider, die Wazuh bereits im Grundsatz kennen und die Plattform vertieft einsetzen möchten. Auch IT-Sicherheitsverantwortliche, die Security Monitoring und Compliance-Prozesse verbessern möchten, profitieren von diesem Seminar.
Teilnahmevoraussetzungen:
Sie verfügen über grundlegende Kenntnisse zu Linux-Systemen, Netzwerken und Log-Management. Erste Erfahrungen mit Wazuh oder vergleichbaren Security-Monitoring- oder SIEM-Lösungen sind hilfreich, um die Inhalte des Seminars optimal nutzen zu können.
