SIEM mit Wazuh

SIEM Lösung mit Wazuh.

wazuh logo

Mit der SIEM Lösung Wazuh wird zur Zeit der SIEM Markt kräftig aufgewühlt. Neben der Kernaufgabe eines SIEMs, sicherheitsrelevante Events zu analysieren, bietet es weitere mächtige Eigenschaften an.


  • File Integrity Monitoring (FIM), zur Identifizierung von Änderungen im Kontext:
  • Inhalt
  • Rechte
  • Eigentümerschaft
  • Attribute
  • All das wird ergänzt durch die native Identifizierung der Nutzer/Anwendung, die diese Änderung hervorgerufen haben.
  • Log Data Analysis
  • Incident Response
  • Die Möglichkeit, bestehende Prozesse (z.b. die des Schwachstellen Managements und des Asset-Managements), mit Kontrollmöglichkeiten zu ergänzen:
  • Vulnerability Detection.
  • Security Configuration Assessment (SCA).
  • System Inventory.
  • Dashboards
  • Reports
  • Und noch weiteres.


Als offizieller Gold Partner von Wazuh, kann ich Ihnen folgende Benefits anbieten:


  • Der persönliche Anspruch, gemeinsam ein SIEM mit Sachverstand bei Ihnen zu etablieren, Compliance Anforderungen zu berücksichtigen und alle involvierten Personen nach und nach abzuholen.
  • Offizielles Training von Wazuh absolviert.
  • Direkter Draht zum Hersteller.
  • Demo-Instanzen.
Firmenmotto

Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.

  • Objektiv, bodenständig und 100 % persönlich.
  • Ohne den Teufel an die Wand zu malen.
  • Fehler beim Namen nennen, Dinge genau unter die Lupe nehmen und vorausschauend arbeiten.
  • Technik und Compliance aus einer Hand.
  • Immer in Zusammenarbeit mit Ihrem IT-Team.
  • Mit tiefgreifendem IT-Security Wissen aus der Praxis.
  • Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
  • Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
  • Mit intensivem Know-how der CIS Critical Security Controls®.
  • Bei Bedarf, 24x7!
  • In Oberhausen/NRW ansässig, in Deutschland zu Hause.

Systematische Planung und Integration: Ein Schritt nach dem anderen!

Systematisch betreue ich Sie bei der Planung, Schulung und Umsetzung bei der Realisierung eines SIEMs.

Gemeinsam verfolge ich diesen groben Plan:

  • Klärung der Erwartungshaltung an ein SIEM.
  • Evaluierung des Asset-Managements bzw. Unterstützung bei der Erstellung eines pragmatischen (jedoch effektiven) Asset-Managements.
  • Evaluierung des Datenklassifizierungsschemas und Ihrer Assets nach dessen Kritikalität bzw. Unterstützung bei der Erstellung.
  • Evaluierung von etwaigen Wissenslücken im Kontext Datenströme und deren verschiedenen Technologien dahinter. Gegebenenfalls biete ich fokussiertes Hands-on Training an.
  • Planung der Ressourcen und Infrastruktur.
  • Planung bei der Anbindung der Systeme und Datenströme, jedoch immer ein Schritt nach dem anderen und stets zusammen mit Ihrem IT-Team.
  • Planung und Bewertung der Systemlasten.
  • Planung bei der Erstellung der Alarme.
  • Planung bei der Analyse der Datenströme und Triggerung derer Zustände.
  • Planung von etwaigen Dashboards und Reports

Log Parsing

Wazuh bietet eine Vielzahl von Schnittstellen ("Decoder") für das Parsing von unterschiedlichen Datenquellen. Jedoch gibt es spezielle Anwendungen und Systeme, die eine eigenständige Erstellung von Decodern erzwingen.
Bei der Realisierung dieser Decoder kann ich tatkräftig Unterstützung anbieten.


Dabei wird jeder Decoder intensiv getestet und dokumentiert und erst bei einer Abnahme Ihrer IT, geht der Decoder in das produktive System über.

Regel Erstellung

Wazuh bietet eine Vielzahl von Regeln an, die die unterschiedlichsten Events bewerten. Jedes Monitoring erfordert jedoch eine individuelle Bewertung von Regeln im Kontext des eigenen Unternehmens, dessen Baseline-Security und Compliance.

Angepasste Regeln können z.B. folgende Punkte berücksichtigen:

  • Betrachtung von normalen und abnormalen Systemlasten.
  • Normale Bürozeiten vs. unüblichen Zeiten.
  • Geo-Position eines Zugriffes.
  • Häufigkeiten einer Aktion.


Weitere abnormale Verhaltensmuster müssen gegebenenfalls auch an die eigenen Umstände angepasst werden.
Beispiele sind:

  • Beendigung einer wichtigen Anwendung bzw. dessen Prozess.
  • Netzwerkverkehr zu unbekannten und bekannten Zielen. Darunter kann auch ein invalider Traffic fallen z.B. im Rahmen der "Data Leakage Prevention".
  • Unerlaubter Zugriff auf Anwendungen, Dateien und sonstigen Ressourcen.
  • Unerlaubtes Ausspähen von Daten, Protokollen und Schwachstellen.
  • Sonstiges Benutzer/Systemverhalten, welches unlogisch erscheint (z.B. ein legitimer Nutzer eines Password Managers, löscht Kundenpasswörter außerhalb der üblichen Bürozeiten).

Bei der individuellen Erstellung von Regeln unterstütze ich Sie tatkräftig.

Dashboards und Reports

Bei Bedarf, lassen sich individuelle Dashboards realisieren, welche die bereits vorhandenen ergänzen. Auch Reports zu verschiedenen Use-Cases können erstellt werden.

Direkter Kontakt zum Hersteller

Jeder Kunde hat die Möglichkeit, mit günstigen Support-Paketen den direkten Kontakt zum Hersteller zu erhalten.
Lassen Sie sich beraten!

Kontaktieren Sie mich
Share by: