Sicherheitguide

Wazuh – Open-Source SIEM für Linux-Server 2025

Sicherheitsereignisse zentralisieren und Angriffe erkennen

S
SeeColors IT11. Juni 20264 Min. Lesezeit59 Aufrufe

Was ist Wazuh?

Wazuh ist eine Open-Source Sicherheitsplattform die Folgendes bietet:

  • SIEM: Zentrales Log-Management und Korrelation
  • FIM: File Integrity Monitoring (Dateiänderungen)
  • HIDS: Host-based Intrusion Detection
  • XDR: Extended Detection and Response
  • Compliance: PCI DSS, GDPR, HIPAA Checks

Wazuh installieren (Docker)

# Docker Compose für Wazuh (Indexer + Manager + Dashboard)
git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.0
cd wazuh-docker/single-node

# Zertifikate generieren
docker compose -f generate-indexer-certs.yml run --rm generator

# Starten
docker compose up -d

# Status
docker compose ps
# Web-UI: https://SERVER_IP:443
# Login: admin / SecretPassword (aus .env)

Agent auf Linux-Server installieren

# Auf jedem zu überwachenden Server:
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH |     gpg --no-default-keyring     --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg     --import

echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main"     > /etc/apt/sources.list.d/wazuh.list

apt update && apt install -y wazuh-agent

# Agent konfigurieren
sed -i 's/MANAGER_IP/192.168.1.100/' /var/ossec/etc/ossec.conf

# Agent registrieren und starten
/var/ossec/bin/agent-auth -m 192.168.1.100
systemctl enable --now wazuh-agent

File Integrity Monitoring konfigurieren

<!-- /var/ossec/etc/ossec.conf auf Manager -->
<syscheck>
  <frequency>3600</frequency>
  <scan_on_start>yes</scan_on_start>

  <!-- Verzeichnisse überwachen -->
  <directories realtime="yes" report_changes="yes">/etc</directories>
  <directories realtime="yes">/usr/bin,/usr/sbin</directories>
  <directories realtime="yes" report_changes="yes">/opt/meine-app</directories>

  <!-- Ignorieren -->
  <ignore>/etc/mtab</ignore>
  <ignore>/etc/hosts.deny</ignore>
  <ignore type="sregex">.log$|.tmp$</ignore>
</syscheck>

Custom Rules erstellen

<!-- /var/ossec/etc/rules/local_rules.xml -->
<group name="local,">

  <!-- Regel: Root-SSH-Login alertieren -->
  <rule id="100001" level="12">
    <if_group>authentication_success</if_group>
    <user>root</user>
    <description>Root SSH Login erkannt</description>
    <mitre>
      <id>T1078</id>
    </mitre>
  </rule>

  <!-- Regel: Viele Fehler-Logins in 1 Minute -->
  <rule id="100002" level="10" frequency="10" timeframe="60">
    <if_matched_sid>5760</if_matched_sid>
    <same_source_ip/>
    <description>Möglicher Brute-Force-Angriff</description>
  </rule>

</group>

Alerts per E-Mail

<!-- /var/ossec/etc/ossec.conf -->
<global>
  <email_notification>yes</email_notification>
  <smtp_server>mail.firma.de</smtp_server>
  <email_from>[email protected]</email_from>
  <email_to>[email protected]</email_to>
  <email_alert_level>10</email_alert_level>
</global>

FAQ

Was kostet Wazuh?
Wazuh ist vollständig Open-Source und kostenlos. Wazuh Inc. bietet kommerziellen Support aber das Produkt selbst ist frei.

Wie viele Agenten kann man überwachen?
Wazuh Manager kann Hunderte Agenten verwalten. Für Enterprise (1.000+) empfiehlt sich ein Wazuh-Cluster.

Fazit

Wazuh ist das kompletteste Open-Source SIEM für KMU – Dateiüberwachung, Log-Analyse und Compliance-Checks ohne Lizenzkosten.

Sicherheitsmonitoring und SIEM für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Sicherheit#Linux#Wazuh#SIEM

Verwandte Artikel

Restic – Verschluessel Backups fuer Linux und macOS 2025

4 Min.

BorgBackup – Deduplizierendes Backup fuer Linux 2025

4 Min.

Active Directory – Fine-Grained Password Policies 2025

4 Min.