Fortgeschritten 90 Minuten • Open Source

Wazuh Security Monitoring - Dein Security Operations Center

Richte Wazuh als zentrale Security-Monitoring-Lösung auf Debian 12 ein. Überwache alle Geräte in deinem Netzwerk und erhalte Alarme bei Angriffen.

Fortgeschritten

🐧 Debian 12 🪟 Windows 11 🐧 Linux Mint

🎯 Was du lernst

✓ Wazuh Server auf Debian installieren

✓ Wazuh Agents auf Windows und Linux installieren

✓ Dashboard und Security Events nutzen

✓ E-Mail-Benachrichtigungen konfigurieren

✓ Alarme bei verdächtigen Aktivitäten einrichten

🛒 Empfohlene Hardware

Intel NUC i5 - ca. 350€ bei Amazon → Protectli Vault 4 Port - ca. 450€ bei Amazon → Raspberry Pi 5 (8GB) - ca. 80€ bei Amazon → SSD 500GB - ca. 50€ bei Amazon →

🛒 Empfohlene Produkte

Mehr erfahren →

📑 Inhaltsverzeichnis

Anleitung

1. Einleitung

🛡️ Wazuh Security Monitoring - Dein digitales Wachsystem

Behalte alle Aktivitäten in deinem Netzwerk im Blick - erkenne Angriffe, Schwachstellen und ungewöhnliches Verhalten in Echtzeit!

2. 📋 Übersicht

Eigenschaft	Details
Zeitaufwand	~90 Minuten
Schwierigkeit	⭐⭐ Fortgeschritten
Kosten	Kostenlos (Open Source)
Hardware	Mini-PC oder VM (4GB+ RAM empfohlen)

3. 🎯 Was du am Ende hast

✅ Zentrale Überwachung aller Geräte im Netzwerk
✅ Echtzeit-Alarme bei verdächtigen Aktivitäten
✅ Schwachstellen-Scanner für alle Systeme
✅ Log-Analyse und Compliance-Reporting
✅ Datei-Integritätsüberwachung
✅ Integration mit Threat Intelligence Feeds

4. 🛒 Benötigte Hardware

5. Empfohlene Server-Hardware

⚡ Empfohlen:

Intel NUC i5 - ca. 350€
8GB RAM, 256GB SSD
Ausreichend für 50+ Agents

💪 High-End:

Protectli Vault 4 Port - ca. 450€
Silent, passiv gekühlt
Perfekt für 24/7-Betrieb

💰 Budget:

Raspberry Pi 5 (8GB) - ca. 90€
Nur für kleine Netzwerke (bis 10 Agents)
Externe SSD empfohlen

💾 Speicher:

SSD 500GB - ca. 50€
Wichtig für Log-Speicherung

6. 🚀 Installation auf Debian 12 Server

7. Schritt 1: System vorbereiten

# System aktualisieren
sudo apt update && sudo apt upgrade -y

# Hostname setzen
sudo hostnamectl set-hostname wazuh-server

# Statische IP konfigurieren (wichtig!)
sudo nano /etc/network/interfaces

auto eth0
iface eth0 inet static
    address 192.168.1.20
    netmask 255.255.255.0
    gateway 192.168.1.1
    dns-nameservers 1.1.1.1 8.8.8.8

# Neustart der Netzwerkverbindung
sudo systemctl restart networking

# Prüfen
ip addr show

[BILD: terminal-statische-ip.jpg - IP-Konfiguration erfolgreich]

8. Schritt 2: Wazuh Server installieren

# Installations-Script herunterladen
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh

# Ausführbar machen
sudo chmod +x wazuh-install.sh

# Installation starten (dauert 10-15 Minuten)
sudo ./wazuh-install.sh -a

Was passiert:

Wazuh Manager wird installiert
Elasticsearch (Indexierung)
Kibana (Webinterface)
Filebeat (Log-Weiterleitung)

[BILD: terminal-wazuh-install.jpg - Wazuh Installation läuft]

9. Schritt 3: Zugriffsdaten sichern

# Passwörter anzeigen
sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

# WICHTIG: Diese Datei sichern!
sudo cp wazuh-install-files.tar /home/dein-user/

Notiere dir:

Admin-Username: admin
Admin-Passwort: [wird angezeigt]

[BILD: terminal-wazuh-passwords.jpg - Anzeige der generierten Passwörter]

10. Schritt 4: Firewall konfigurieren

# UFW installieren
sudo apt install -y ufw

# Ports für Wazuh öffnen
sudo ufw allow 22/tcp    # SSH
sudo ufw allow 443/tcp   # HTTPS (Wazuh Dashboard)
sudo ufw allow 1514/tcp  # Wazuh Agent Kommunikation
sudo ufw allow 1515/tcp  # Wazuh Agent Authentifizierung

# Firewall aktivieren
sudo ufw enable

# Status prüfen
sudo ufw status

[BILD: ufw-status-wazuh.jpg - Firewall-Regeln für Wazuh]

Browser öffnen: https://192.168.1.20
Sicherheitswarnung akzeptieren (Self-Signed Zertifikat)
Einloggen:
- Username: admin
- Password: [aus Schritt 3]

[BILD: wazuh-login-screen.jpg - Wazuh Login Seite]

12. 💻 Windows 11 Agent installieren

13. Schritt 1: Agent herunterladen

Wazuh Dashboard öffnen
Agents → Deploy new agent
Windows auswählen
Paket herunterladen

[BILD: wazuh-deploy-agent-windows.jpg - Agent Deployment Seite]

14. Schritt 2: Silent Installation

PowerShell als Administrator:

# Zum Download-Verzeichnis wechseln
cd ~\Downloads

# Installation starten
.\wazuh-agent-4.7.0-1.msi /q WAZUH_MANAGER="192.168.1.20"

# Dienst starten
Start-Service WazuhSvc

# Autostart aktivieren
Set-Service WazuhSvc -StartupType Automatic

[BILD: powershell-wazuh-install.jpg - PowerShell Installation des Agents]

15. Schritt 3: Überprüfung

# Status prüfen
Get-Service WazuhSvc

# Mit Server verbinden
& "C:\Program Files (x86)\Ossec-agent\agent-auth.exe" -m 192.168.1.20

Im Wazuh Dashboard sollte der Agent erscheinen!

[BILD: wazuh-agent-connected.jpg - Agent im Dashboard sichtbar]

16. 🐧 Linux Mint Agent installieren

17. Schritt 1: Repository hinzufügen

# GPG-Schlüssel installieren
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && sudo chmod 644 /usr/share/keyrings/wazuh.gpg

# Repository hinzufügen
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list

# Paketlisten aktualisieren
sudo apt update

18. Schritt 2: Agent installieren

# Wazuh Agent installieren
sudo apt install -y wazuh-agent

# Konfiguration anpassen
sudo nano /var/ossec/etc/ossec.conf

Finde diese Zeile und passe an:

<client>
  <server>
    <address>192.168.1.20</address>
    <port>1514</port>
    <protocol>tcp</protocol>
  </server>
</client>

[BILD: nano-ossec-conf.jpg - ossec.conf Konfiguration]

19. Schritt 3: Agent starten

# Dienst aktivieren und starten
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

# Status prüfen
sudo systemctl status wazuh-agent

[BILD: terminal-wazuh-agent-status.jpg - Agent läuft erfolgreich]

20. 📊 Wazuh Dashboard nutzen

21. Hauptübersicht (Overview)

Nach dem Login siehst du:

[BILD: wazuh-dashboard-overview.jpg - Wazuh Haupt-Dashboard]

Wichtige Bereiche:

Security Events 🔴
- Angriffsversuche
- Fehlgeschlagene Logins
- Malware-Detection
Integrity Monitoring 🟡
- Dateiänderungen
- Neue/entfernte Dateien
- Registry-Änderungen (Windows)
Vulnerabilities 🟠
- CVEs auf entdeckten Systemen
- Patch-Empfehlungen

22. Agent-Übersicht

Agents → Summary:

[BILD: wazuh-agents-list.jpg - Liste aller überwachten Agents]

Zeigt:

Online/Offline Status
Letzte Verbindung
Anzahl der Events
Schwachstellen pro System

23. Security Events analysieren

Modules → Security Events:

[BILD: wazuh-security-events.jpg - Security Events Übersicht]

Filter nutzen:

Nach Schweregrad (Level 1-15)
Nach Zeit (letzte Stunde/Tag/Woche)
Nach Agent
Nach Rule-ID

24. ⚠️ Wichtige Alarme konfigurieren

25. Email-Benachrichtigungen

# Auf dem Wazuh Server
sudo nano /var/ossec/etc/ossec.conf

Finde den <global>-Bereich und füge hinzu:

<global>
  <email_notification>yes</email_notification>
  <email_to>deine-email@example.com</email_to>
  <smtp_server>dein-smtp.server.com</smtp_server>
  <email_from>wazuh@dein-server.com</email_from>
</global>

Neustart:

sudo systemctl restart wazuh-manager

26. Critical Events hervorheben

Im Dashboard:

Settings → Modules
Security Events → Configuration
Critical Level auf 8 setzen

[BILD: wazuh-alert-configuration.jpg - Alarm-Konfiguration]

27. 🔧 Fehlerbehebung

28. Problem: Agent verbindet nicht

Prüfen:

# Auf dem Agent
sudo cat /var/ossec/logs/ossec.log | grep ERROR

# Firewall-Regeln testen
telnet 192.168.1.20 1514

# Authentifizierung neu versuchen
sudo /var/ossec/bin/agent-auth -m 192.168.1.20

29. Problem: Dashboard nicht erreichbar

Dienste prüfen:

sudo systemctl status wazuh-manager
sudo systemctl status elasticsearch
sudo systemctl status kibana
sudo systemctl status filebeat

# Alle neustarten falls nötig
sudo systemctl restart wazuh-manager elasticsearch kibana filebeat

30. Problem: Hohe Speichernutzung

Elasticsearch Speicher begrenzen:

sudo nano /etc/elasticsearch/jvm.options

# Ändern:
-Xms2g
-Xmx2g

31. ✅ Testen & Verifizieren

32. Checkliste:

Wazuh Dashboard erreichbar unter https://192.168.1.20
Login mit admin funktioniert
Mindestens 1 Agent verbunden und “Active”
Security Events werden angezeigt

Test-Alarm auslösbar:

# Auf Agent ausführen
sudo /var/ossec/bin/agent_control -l

Email-Benachrichtigung getestet (falls konfiguriert)

33. Test-Angriff simulieren

Auf einem Agent:

# Falsche SSH-Login-Versuche (werden erkannt)
ssh fakeuser@192.168.1.20
# Passwort: wrongpassword
# 5x wiederholen

Im Dashboard sollten nun “SSH brute force” Alerts erscheinen!

[BILD: wazuh-brute-force-alert.jpg - Erkannter Brute-Force Angriff]

34. 🚀 Nächste Schritte

Aktive Response konfigurieren
- Automatische IP-Sperre nach 5 Fehlversuchen
- Firewall-Integration
Integrationen hinzufügen
- VirusTotal für Malware-Checks
- Slack/Discord für Alerts
- PagerDuty für kritische Events
Compliance-Reporting
- PCI DSS für Bezahlsysteme
- GDPR für Datenschutz
- HIPAA für Gesundheitsdaten
Wazuh Agent auf allen Geräten
- Router (wenn möglich)
- NAS-Systeme
- Smart Home Geräte
- Smartphones (über MDM)

35. 📚 Weiterführende Links

Wazuh ist dein 24/7 Security-Team - lass es nie unbeaufsichtigt! 🛡️

Fragen oder Alarme die du nicht verstehst? Schreib sie in die Kommentare! 👇

Letzte Aktualisierung: Februar 2026 | Getestet mit Wazuh 4.7.x auf Debian 12.5