Wazuh SIEM Installation Anleitung
Wazuh SIEM Installation und Konfiguration – Open Source Security
Wazuh ist eine moderne Open-Source Security Information and Event Management (SIEM) Lösung mit Extended Detection and Response (EDR) Fähigkeiten. Es basiert auf dem bewährten OSSEC-Framework und bietet umfassende Sicherheitsüberwachung für Infrastrukturen jeder Größe.
Was ist Wazuh?
Wazuh ist ein Sicherheitsanalyse-Plattform, die Folgendes ermöglicht:
- Threat Detection – Automatische Erkennung von Angriffsmustern und verdächtigem Verhalten
- Compliance Monitoring – Überprüfung auf Standards wie PCI-DSS, HIPAA, CIS
- Incident Response – Schnelle Identifizierung und Behebung von Sicherheitsvorfällen
- Cloud Security – Monitoring von AWS, Azure, GCP Umgebungen
- Vulnerability Assessment – Integration mit Schwachstellen-Datenbanken
- Active Response – Automatische Reaktion auf Sicherheitsereignisse
Wazuh-Architektur
Komponenten
| Komponente | Funktion | Alternative/Äquivalent |
|---|---|---|
| Wazuh Server | Zentrale Verwaltung, Regelverarbeitung, Agent-Kommunikation | Splunk Enterprise, ELK Stack |
| Wazuh Indexer | Speicherung und Indexierung von Sicherheitsdaten | OpenSearch, Elasticsearch |
| Wazuh Dashboard | Web-UI für Visualisierung und Analyse | Kibana, Grafana |
| Wazuh Agent | Datensammlung auf Endpoints und Servern | Splunk Forwarder, Filebeat |
Systemanforderungen
Für eine Single-Node Installation (ideal für Entwicklung und kleinere Umgebungen):
- CPU: Mindestens 4 Kerne (8+ empfohlen)
- RAM: Mindestens 8 GB (16 GB+ empfohlen)
- Disk: Mindestens 50 GB (für Logs sollte man 100+ GB einplanen)
- OS: Ubuntu 20.04+, Debian 10+, CentOS 7+, RHEL 7+
- Netzwerk: Statische IP-Adresse empfohlen
Single-Node Installation mit offiziellem Skript
Schritt 1: Voraussetzungen prüfen
sudo apt update sudo apt install -y curl wget gpg apt-transport-https # Java überprüfen java -version # Wenn Java nicht installiert: sudo apt install -y default-jdk
Schritt 2: Wazuh Installation Skript herunterladen
cd /tmp sudo curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo chmod +x /tmp/wazuh-install.sh
Schritt 3: Installation durchführen
sudo /tmp/wazuh-install.sh --generate-security-certs
Dies erstellt automatisch alle notwendigen Zertifikate und Konfigurationen. Das Skript wird interaktiv nach bestimmten Details fragen (Hostname, IP-Adressen).
Schritt 4: Wazuh-Komponenten installieren
sudo /tmp/wazuh-install.sh --wazuh-server-start sudo /tmp/wazuh-install.sh --indexer-start sudo /tmp/wazuh-install.sh --dashboard-start
Alternativ können Sie alles in einem Schritt starten:
sudo /tmp/wazuh-install.sh --all-in-one
Schritt 5: Services überprüfen
sudo systemctl status wazuh-manager sudo systemctl status wazuh-indexer sudo systemctl status wazuh-dashboard
Dashboard-Zugriff
Anmeldedaten abrufen
Nach der Installation zeigt das Skript die Anmeldeinformationen an:
sudo /tmp/wazuh-install.sh --get-start-info
Alternativ in den Logs nachschauen:
sudo tail -f /var/log/wazuh/api.log | grep -i "credential"
Dashboard öffnen
In Ihrem Browser öffnen Sie:
https://YOUR_SERVER_IP:443
Standardbenutzername: admin
Passwort: Was vom Installationsskript angezeigt wurde
Installation von Wazuh Agent auf Linux-Clients
Agent auf Ubuntu/Debian installieren
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add - echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list apt-get update apt-get install -y wazuh-agent
Agent konfigurieren
Bearbeiten Sie /var/ossec/etc/ossec.conf:
sudo nano /var/ossec/etc/ossec.conf
Finden Sie die `
WAZUH_MANAGER_IP 1514 tcp CLIENT_HOSTNAME auto
Ersetzen Sie:
WAZUH_MANAGER_IP– IP-Adresse des Wazuh-ServersCLIENT_HOSTNAME– Name des Client-Systems
Agent starten und aktivieren
sudo systemctl start wazuh-agent sudo systemctl enable wazuh-agent sudo systemctl status wazuh-agent
Agent-Verbindung verifizieren
Auf dem Wazuh-Server:
sudo /var/ossec/bin/agent_control -l
Dies zeigt alle verbundenen Agents an. Sie sollten Ihren neu hinzugefügten Agent in der Liste sehen.
Eingebaute Regeln und Decoder
Wazuh kommt mit hunderten von vordefinierten Regeln für verschiedene Szenarien:
- Authentifizierung – Fehlgeschlagene Login-Versuche, Privilege Escalation
- System-Sicherheit – Kernel-Exploits, File-Integrity Monitoring
- Web-Sicherheit – SQL-Injection, Web-Shell-Erkennung
- Malware-Erkennung – Verdächtige Prozesse, Netzwerk-IOCs
- Compliance – PCI-DSS, HIPAA, GDPR relevante Events
Die Regeln befinden sich in:
/var/ossec/ruleset/rules/
Beispiel einer Regel:
authentication_failed Multiple authentication failures. 5 600 alert
Custom Alert-Regel erstellen
Neue Regeln werden in XML-Format definiert. Beispiel für Erkennung von verdächtigem SSH-Zugang:
sudo nano /var/ossec/etc/rules/custom_rules.xml
Fügen Sie folgende Regel hinzu:
authentication_success sshd.*Accepted publickey for root ROOT login via SSH detected alert syscheck /etc/passwd Modification of /etc/passwd detected alert
Nach dem Erstellen der Regel, überprüfen und laden Sie die Regeln neu:
sudo /var/ossec/bin/wazuh-control restart
E-Mail-Benachrichtigungen konfigurieren
Bearbeiten Sie /var/ossec/etc/ossec.conf:
sudo nano /var/ossec/etc/ossec.conf
Suchen Sie nach dem `
yes smtp.gmail.com wazuh@yourdomain.com admin@yourdomain.com your-email@gmail.com your-app-password
Danach Wazuh neu starten:
sudo /var/ossec/bin/wazuh-control restart
Active Response konfigurieren
Active Response ermöglicht es Wazuh, automatisch auf Sicherheitsereignisse zu reagieren. Beispiel: Automatisches Blockieren einer IP-Adresse bei mehrfachen fehlgeschlagenen Anmeldeversuchen.
Block-Skript erstellen
sudo nano /var/ossec/active-response/bin/block_ip.sh
#!/bin/bash
IP=$1
ACTION=$2
if [ "$ACTION" = "add" ]; then
/sbin/iptables -A INPUT -s $IP -j DROP
/sbin/iptables -A INPUT -s $IP -j DROP -m comment --comment "Wazuh Block"
/sbin/iptables-save > /etc/iptables/rules.v4
echo "IP $IP blocked at $(date)" >> /var/log/wazuh-block.log
elif [ "$ACTION" = "delete" ]; then
/sbin/iptables -D INPUT -s $IP -j DROP
/sbin/iptables-save > /etc/iptables/rules.v4
echo "IP $IP unblocked at $(date)" >> /var/log/wazuh-block.log
fi
Berechtigungen setzen:
sudo chmod +x /var/ossec/active-response/bin/block_ip.sh sudo chown root:ossec /var/ossec/active-response/bin/block_ip.sh
Active Response Regel definieren
Bearbeiten Sie ossec.conf:
no block_ip all 100001 600
Wazuh Agent-Logs Übersicht
Die wichtigsten Log-Dateien auf dem Agent sind:
/var/ossec/logs/ossec.log # Agent Logs /var/ossec/logs/active-responses.log # Active Response Events /var/ossec/queue/syscheck/ # File Integrity Monitoring /var/ossec/queue/fim/ # FIM Datenbank
Integration mit anderen Systemen
Slack-Integration für Benachrichtigungen
Wazuh kann direkt mit Slack integriert werden für Echtzeit-Benachrichtigungen. Dies wird über Webhooks konfiguriert.
sudo nano /var/ossec/integrations/slack.conf
slack YOUR_SLACK_WEBHOOK_URL json 100002
Performance-Tuning
Wazuh-Manager Memory anpassen
sudo nano /var/ossec/etc/ossec.conf
Im `
10000
Alert-Datenbank optimieren
sudo /var/ossec/bin/wazuh-control restart sudo systemctl restart wazuh-indexer
Regelmäßige Wartung
Cron-Job für tägliche Berichte:
0 8 * * * /var/ossec/bin/wazuh-logtest -f /var/ossec/etc/rules/local_rules.xml > /tmp/wazuh-validation.log 2>&1
Wöchentliche Datenbank-Wartung:
0 2 * * 0 /var/ossec/bin/verify-agent-conf 2>&1 | logger -t wazuh-maintenance
Zusammenfassung
Wazuh bietet eine umfassende, kostenlose SIEM-Lösung für Linux-Infrastrukturen. Mit seiner einsteigerfreundlichen Installation, reichen Regelbasis und Automatisierungsmöglichkeiten ist es ideal für kleine bis mittlere Unternehmen, die ihre Sicherheitslage verbessern möchten.