Wazuh SIEM (Security)

Was ist Wazuh?

Wazuh ist eine Open-Source-Sicherheitsplattform, die Ihre Server und Firewalls rund um die Uhr ueberwacht. Stellen Sie sich Wazuh als einen digitalen Sicherheitsdienst vor, der folgende Aufgaben uebernimmt:

• Sicherheitsalarme (Alerts): Erkennt verdaechtige Aktivitaeten wie fehlgeschlagene Login-Versuche, unbekannte Prozesse oder verdaechtige Netzwerkverbindungen
• Schwachstellen-Scan (CVEs): Prueft installierte Software auf bekannte Sicherheitsluecken und zeigt an, welche Updates noetig sind
• Compliance-Pruefung (SCA): Vergleicht die Konfiguration Ihrer Systeme mit Sicherheitsstandards wie CIS Benchmarks und zeigt, wo Verbesserungen noetig sind
• Datei-Integritaet (FIM): Ueberwacht wichtige Systemdateien auf unautorisierte Aenderungen

DATAZONE Control integriert Wazuh direkt in die bestehende Verwaltungsoberflaeche. Sie muessen kein separates Wazuh-System betreiben - alles laeuft im gleichen Docker-Stack.

So funktioniert es

┌──────────────────┐         ┌──────────────────────────────────────────────┐
│   Ihre Hosts     │         │        DATAZONE Control Server              │
│                  │         │                                              │
│  ┌────────────┐  │  Port   │  ┌──────────────┐    ┌────────────────────┐ │
│  │ Wazuh Agent│──┼──1514──▶│  │ Wazuh Manager│───▶│ Wazuh Indexer      │ │
│  │ (sammelt   │  │         │  │ (wertet aus) │    │ (speichert Alerts) │ │
│  │  Logdaten) │──┼──1515──▶│  └──────┬───────┘    └────────┬───────────┘ │
│  └────────────┘  │ Enroll  │         │                     │             │
│                  │         │  ┌──────┴───────┐    ┌────────┴───────────┐ │
│  ┌────────────┐  │         │  │ DATAZONE     │    │ Wazuh Dashboard    │ │
│  │ DATAZONE   │  │         │  │ Backend      │    │ (Detail-Ansicht)   │ │
│  │ Agent      │  │         │  │ (zeigt Daten │    │ erreichbar unter   │ │
│  └────────────┘  │         │  │  im Frontend)│    │ /wazuh/            │ │
│                  │         │  └──────────────┘    └────────────────────┘ │
└──────────────────┘         └──────────────────────────────────────────────┘

Die Komponenten im Detail

Komponente	Was sie tut	Wo sie laeuft
Wazuh Agent	Kleine Software auf jedem Host. Sammelt Logs, prueft Dateien, scannt Software.	Auf jedem ueberwachten Host
Wazuh Manager	Empfaengt Daten von allen Agents. Wertet Regeln aus, erzeugt Alerts.	Docker-Container auf dem DATAZONE Server
Wazuh Indexer	Datenbank fuer alle Alerts und Events (basiert auf OpenSearch).	Docker-Container auf dem DATAZONE Server
Wazuh Dashboard	Detaillierte Web-Oberflaeche fuer tiefergehende Analysen.	Docker-Container, erreichbar unter /wazuh/
DATAZONE Integration	Zeigt die wichtigsten Security-Daten direkt in DATAZONE Control an.	Im bestehenden DATAZONE Backend + Frontend

Voraussetzungen

Bevor Sie Wazuh nutzen koennen, pruefen Sie folgende Punkte:

• DATAZONE Control laeuft bereits (docker compose up -d)
• Mindestens 4 GB zusaetzlicher RAM auf dem Server (Indexer: 2 GB, Manager: 1 GB, Dashboard: 1 GB)
• Ports 1514 und 1515 (TCP) muessen von aussen erreichbar sein (siehe Port-Weiterleitung)

Server-Installation (Schritt fuer Schritt)

Schritt 1: TLS-Zertifikate generieren

Die Wazuh-Komponenten kommunizieren untereinander verschluesselt (TLS). Dafuer werden einmalig Zertifikate erzeugt:

cd /root/datazone-control
chmod +x wazuh/generate-certs.sh
bash wazuh/generate-certs.sh

Was passiert hier?

Das Script erzeugt eine eigene Zertifizierungsstelle (CA) und erstellt damit Zertifikate fuer jede Komponente. Diese liegen danach in wazuh/certs/. Sie muessen diesen Schritt nur einmal bei der Erstinstallation ausfuehren.

Schritt 2: Wazuh-Container starten

docker compose up -d wazuh-indexer wazuh-manager wazuh-dashboard

Erster Start dauert laenger

Der Wazuh Indexer braucht ca. 30-60 Sekunden fuer die Initialisierung. Warten Sie, bis docker compose logs wazuh-indexer --tail 5 keine Fehlermeldungen mehr zeigt, bevor Sie fortfahren.

Schritt 3: OpenSearch Security initialisieren

Dieser Schritt laedt die Benutzerdatenbank und Berechtigungen in den Indexer. Er muss nach dem ersten Start und nach jedem Neustart des Indexer-Containers ausgefuehrt werden:

docker exec datazone-wazuh-indexer bash -c '
  export JAVA_HOME=/usr/share/wazuh-indexer/jdk
  /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh \
    -cd /usr/share/wazuh-indexer/opensearch-security/ \
    -nhnv \
    -cacert /usr/share/wazuh-indexer/certs/root-ca.pem \
    -cert /usr/share/wazuh-indexer/certs/admin.pem \
    -key /usr/share/wazuh-indexer/certs/admin-key.pem \
    -h localhost
'

Erwartete Ausgabe: Done with success mit 10 SUCC-Meldungen.

Wichtig

Dieser Befehl muss jedes Mal wiederholt werden, wenn der Wazuh Indexer Container neu gestartet wird (z.B. nach docker compose restart wazuh-indexer oder einem Server-Neustart). Ohne diesen Schritt kann sich niemand am Dashboard anmelden.

Schritt 4: Agent-Gruppen anlegen

Wazuh organisiert Agents in Gruppen, die bestimmen welche Logs gesammelt werden. Diese Gruppen muessen einmalig angelegt werden:

docker exec datazone-wazuh-manager /var/ossec/bin/agent_groups -a -g linux -q
docker exec datazone-wazuh-manager /var/ossec/bin/agent_groups -a -g windows -q
docker exec datazone-wazuh-manager /var/ossec/bin/agent_groups -a -g opnsense -q
docker exec datazone-wazuh-manager /var/ossec/bin/agent_groups -a -g sca-level1 -q
docker exec datazone-wazuh-manager /var/ossec/bin/agent_groups -a -g sca-level2 -q

Gruppe	Fuer welche Hosts	Was wird ueberwacht
linux	Linux, Proxmox VE, Proxmox Backup Server	auth.log, syslog, dpkg.log, Docker-Logs
windows	Windows (Desktop + Server)	Security/System EventLog, Sysmon, PowerShell
opnsense	OPNsense Firewalls	system.log, filter.log, Konfigurationsdateien
sca-level1	Alle Hosts mit SCA Level 1	CIS Level 1 Checks (Basis-Sicherheit)
sca-level2	Alle Hosts mit SCA Level 2	CIS Level 1+2 Checks (erweiterte Sicherheit)

Schritt 5: Manager neu starten

docker compose restart wazuh-manager

Schritt 6: DATAZONE Einstellungen konfigurieren

Im Web-UI unter Einstellungen → Wazuh SIEM:

Einstellung	Empfohlener Wert	Erklaerung
Aktiviert	An	Schaltet die Wazuh-Integration ein
API URL	https://wazuh-manager:55000	Interne Docker-Adresse (nicht aendern)
API Benutzer	wazuh-wui	Standard Wazuh API-Benutzer
API Passwort	D4taz0ne!Wazuh#2024	Wie in docker-compose.yml konfiguriert
Dashboard URL	/wazuh/	Relativer Pfad zum Wazuh Dashboard
Auto-Match	An	Ordnet Wazuh Agents automatisch DATAZONE Hosts zu
Sync-Intervall	300	Alle 5 Minuten synchronisieren

Klicken Sie auf Verbindung testen um sicherzustellen, dass alles funktioniert.

Schritt 7: Backend und Frontend neu starten

docker compose up -d --build backend frontend

Das Wazuh-System ist jetzt betriebsbereit. Im naechsten Abschnitt erfahren Sie, wie Sie die Agents auf Ihren Hosts installieren.

Port-Weiterleitung (Firewall)

Die Wazuh Agents auf Ihren Hosts muessen den Wazuh Manager auf dem DATAZONE-Server erreichen koennen. Dafuer muessen zwei TCP-Ports von aussen erreichbar sein:

Port	Funktion	Wann benoetigt
1514	Datenverbindung (Agent sendet Logs an Manager)	Permanent, solange der Agent laeuft
1515	Enrollment (Agent registriert sich erstmalig)	Nur bei der Erstregistrierung

Wenn Ihre Hosts ueber das Internet verbinden

Falls Ihre ueberwachten Hosts nicht im gleichen Netzwerk wie der DATAZONE-Server sind (z.B. Remote-Standorte), muessen Sie in Ihrer vorgeschalteten Firewall/Router eine Port-Weiterleitung einrichten:

Beispiel OPNsense:

1. Gehen Sie zu Firewall → NAT → Port Forward
2. Erstellen Sie eine neue Regel:
   • Interface: WAN
   • Protocol: TCP
   • Destination Port Range: 1514-1515
   • Redirect Target IP: IP des DATAZONE-Servers (z.B. 10.100.0.16)
   • Redirect Target Port: 1514
   • Description: Wazuh
3. Stellen Sie sicher, dass Filter rule association auf "Pass" steht (sonst wird der Traffic zwar umgeleitet, aber von der Firewall blockiert)
4. Speichern und Aenderungen anwenden

NAT Reflection

Wenn Sie den Port-Test vom gleichen Netzwerk aus machen (z.B. Ihr PC verbindet sich ueber die oeffentliche IP), muss in der OPNsense NAT Reflection aktiviert sein: Firewall → Settings → Advanced → Reflection for port forwards = Enable.

Port-Test

Pruefen Sie mit PowerShell, ob die Ports erreichbar sind:

Test-NetConnection control.datazone.de -Port 1514
Test-NetConnection control.datazone.de -Port 1515

Beide muessen TcpTestSucceeded: True zeigen.

Wazuh Agent installieren

Der Wazuh Agent ist eine kleine Software, die auf jedem zu ueberwachenden Host installiert wird. Er sammelt Logdaten und sendet sie an den Wazuh Manager.

Empfohlener Weg: Ueber DATAZONE Control

Der einfachste Weg ist die Installation ueber DATAZONE Control:

1. Oeffnen Sie den Host in DATAZONE Control
2. Gehen Sie zu Scripts
3. Waehlen Sie "Wazuh Agent installieren" aus
4. Fuehren Sie das Script aus

Das Script erkennt automatisch die Manager-Adresse aus der DATAZONE-Agent-Konfiguration und installiert den passenden Wazuh Agent.

Re-Enrollment

Falls der Agent bereits installiert ist, aber nicht verbunden (z.B. weil die Ports bei der Erstinstallation noch nicht offen waren), erkennt das Script dies automatisch und fuehrt ein Re-Enrollment durch.

Manuell: Linux (Debian/Ubuntu)

# 1. Wazuh Repository hinzufuegen
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | \
  gpg --dearmor -o /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] \
  https://packages.wazuh.com/4.x/apt/ stable main" \
  > /etc/apt/sources.list.d/wazuh.list

# 2. Agent installieren (MANAGER_IP = oeffentliche IP oder Domain des DATAZONE-Servers)
apt-get update
WAZUH_MANAGER="control.datazone.de" WAZUH_AGENT_GROUP="linux" \
  apt-get install -y wazuh-agent

# 3. Falls die Manager-Adresse nicht automatisch gesetzt wurde:
sed -i 's/<address>MANAGER_IP<\/address>/<address>control.datazone.de<\/address>/' \
  /var/ossec/etc/ossec.conf

# 4. Agent starten
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent

Manuell: Windows

# 1. MSI herunterladen
Invoke-WebRequest -Uri "https://packages.wazuh.com/4.x/windows/wazuh-agent-4.9.2-1.msi" `
  -OutFile "$env:TEMP\wazuh-agent.msi"

# 2. Installieren (WAZUH_MANAGER = oeffentliche IP oder Domain des DATAZONE-Servers)
msiexec /i "$env:TEMP\wazuh-agent.msi" /q `
  WAZUH_MANAGER="control.datazone.de" `
  WAZUH_AGENT_GROUP="windows"

# 3. Dienst starten
Start-Service WazuhSvc

Manuell: OPNsense (FreeBSD)

# 1. Agent installieren
pkg install wazuh-agent

# 2. Beim Manager registrieren
/var/ossec/bin/agent-auth -m control.datazone.de -G firewalls

# 3. Manager-Adresse in Konfiguration eintragen
sed -i '' 's/<address>MANAGER_IP<\/address>/<address>control.datazone.de<\/address>/' \
  /var/ossec/etc/ossec.conf

# 4. Agent starten
sysrc wazuh_agent_enable=YES
service wazuh-agent start

Ersetzen Sie die Adresse!

In allen Beispielen muss control.datazone.de durch die tatsaechliche oeffentliche Adresse (Domain oder IP) Ihres DATAZONE-Servers ersetzt werden.

Installation pruefen

Nach der Installation sollte der Agent innerhalb weniger Sekunden im Wazuh Dashboard erscheinen. Pruefen Sie auf dem DATAZONE-Server:

# Alle registrierten Agents anzeigen
docker exec datazone-wazuh-manager /var/ossec/bin/agent_control -l

Erwartete Ausgabe (Beispiel):

ID: 000, Name: wazuh-manager (server), IP: 127.0.0.1, Active/Local
ID: 001, Name: DESKTOP-1CJMBDB, IP: any, Active

Security Dashboard in DATAZONE Control

Nach erfolgreicher Installation und Verbindung sehen Sie die Security-Daten an zwei Stellen:

1. Globaler Security Tab

Im Hauptmenue unter Security finden Sie eine Uebersicht ueber alle ueberwachten Hosts:

Statistik-Karten (oben):

Karte	Bedeutung
Agents	Anzahl aktiver/gesamter Wazuh Agents (z.B. "42/45 active")
Critical	Anzahl kritischer Sicherheitsalarme
High	Anzahl hoher Sicherheitsalarme
CVEs	Gesamtzahl bekannter Schwachstellen ueber alle Hosts
Compliance	Durchschnittlicher Compliance-Score (0-100%)

Tabs:

Tab	Was Sie hier sehen
Alerts	Alle Sicherheitsalarme mit Schweregrad, betroffener Host, Beschreibung und Zeitpunkt. Filterfaehig nach Schweregrad und Zeitraum.
Schwachstellen	Liste aller bekannten CVEs mit betroffenen Paketen und verfuegbaren Updates.
Compliance	Ergebnisse der CIS Benchmark-Pruefungen pro Host und Policy.
Agents	Alle Wazuh Agents mit Status und Zuordnung zu DATAZONE Hosts. Hier koennen Sie auch manuell zuordnen.

2. Host Security Tab

Im Detail-Modal jedes Hosts (egal ob Linux, Windows, OPNsense, PVE oder PBS) gibt es einen Security Subtab mit:

• Agent-Status: Zeigt ob der Wazuh Agent auf diesem Host aktiv ist
• Statistik-Karten: Critical/High Alerts, CVEs, Compliance-Score, FIM-Events der letzten 24h
• Alerts-Tab: Nur die Alerts dieses Hosts
• CVEs-Tab: Schwachstellen auf diesem Host mit Paket, Version und Fix-Version
• Compliance-Tab: CIS Benchmark-Ergebnisse mit Bestanden/Nicht bestanden pro Regel

Was die Daten bedeuten

Alerts (Sicherheitsalarme)

Wazuh erkennt verdaechtige Aktivitaeten anhand von ueber 3000 vordefinierten Regeln. Jeder Alert hat einen Schweregrad:

Level	Bedeutung	Beispiele
1-4	Info	Benutzer hat sich angemeldet, Service gestartet
5-7	Niedrig	Fehlgeschlagener Login, Berechtigungsaenderung
8-9	Mittel	Mehrere fehlgeschlagene Logins, verdaechtiger Prozess
10-12	Hoch	Brute-Force-Angriff erkannt, Rootkit-Verdacht
13-15	Kritisch	Erfolgreicher Einbruch, Systemmanipulation

CVEs (Schwachstellen)

Wazuh scannt die installierte Software auf bekannte Sicherheitsluecken. Jede CVE hat einen CVSS-Score:

CVSS	Bewertung	Handlungsbedarf
0-3.9	Niedrig	Geringe Prioritaet, Update bei Gelegenheit
4.0-6.9	Mittel	Update zeitnah einplanen
7.0-8.9	Hoch	Baldmoeglichst updaten
9.0-10.0	Kritisch	Sofort updaten!

Compliance (SCA)

Die Security Configuration Assessment prueft Ihre Systeme gegen Sicherheitsstandards:

• CIS Microsoft Windows 11 Enterprise Benchmark: Prueft ca. 400 Konfigurationsregeln
• CIS Debian/Ubuntu Benchmark: Prueft Linux-Konfigurationen
• CIS FreeBSD Benchmark: Prueft OPNsense-Konfigurationen

Der Score zeigt den Prozentsatz der bestandenen Pruefungen (z.B. 29% = 113 von 387 Regeln bestanden).

Kein Grund zur Panik

Ein Compliance-Score von 20-40% ist fuer Standardsysteme normal. Viele CIS-Regeln sind sehr streng und muessen an die eigene Umgebung angepasst werden. Nutzen Sie den Score als Richtlinie fuer Verbesserungen, nicht als absoluten Massstab.

FIM (File Integrity Monitoring)

FIM ueberwacht wichtige Systemdateien auf Aenderungen. Wenn sich z.B. /etc/passwd oder C:\Windows\System32\drivers\etc\hosts aendert, wird ein Alert erzeugt. Hohe FIM-Zahlen (z.B. 16000+) kurz nach der Installation sind normal - das ist der erste Scan, der den Ausgangszustand erfasst.

SCA Level Hierarchie

DATAZONE Control unterstuetzt eine 3-stufige Kaskade fuer die Zuweisung des CIS Benchmark Levels:

Gruppe  >  Kunde  >  System-Standard

Stufe	Wo konfiguriert	Beschreibung
System-Standard	Einstellungen > Wazuh SIEM > Standard SCA Level	Gilt fuer alle Hosts, die keine Kunden- oder Gruppen-Einstellung haben
Kunde	Kunde bearbeiten > Wazuh SCA Level	Ueberschreibt den System-Standard fuer alle Hosts dieses Kunden
Gruppe	Gruppe bearbeiten > Wazuh SCA Level	Ueberschreibt Kunden- und System-Standard fuer Hosts in dieser Gruppe

CIS Benchmark Levels

Level	Beschreibung	Beispiel
Level 1 (Basis)	Grundlegende Sicherheitshaertung. Kompatibel mit dem normalen Betrieb. Empfohlen fuer Workstations und Standard-Server.	Firewall aktiviert, Passwort-Richtlinien, Audit-Logging
Level 2 (Erweitert)	Umfassende Sicherheitshaertung. Kann Funktionalitaet einschraenken. Empfohlen fuer Server in sensiblen Umgebungen.	Druckdienst deaktivieren, Remote-Desktop einschraenken, erweiterte Audit-Regeln

Empfehlung

Starten Sie mit Level 1 fuer alle Hosts. Setzen Sie Level 2 nur fuer Server ein, die in besonders sensiblen Umgebungen laufen (z.B. Datenbanken, Domain Controller).

SCA-Level anwenden

Nach dem Aendern der SCA-Level-Einstellungen muessen diese auf die Wazuh-Agents angewendet werden:

1. Gehen Sie zu Einstellungen > Wazuh SIEM
2. Klicken Sie auf SCA-Level anwenden
3. DATAZONE weist allen gematchten Agents automatisch die korrekte SCA-Gruppe zu

Wazuh Dashboard (/wazuh/)

Fuer tiefergehende Analysen steht das vollstaendige Wazuh Dashboard zur Verfuegung. Es ist erreichbar unter:

https://control.datazone.de/wazuh/

Login-Daten:

• Benutzer: admin
• Passwort: D4taz0ne!Wazuh#2025

Das Dashboard bietet weitaus detailliertere Ansichten als die DATAZONE-Integration, inklusive:

• MITRE ATT&CK Mapping
• Detaillierte Regel-Informationen
• Volltextsuche in allen Events
• Grafische Dashboards und Zeitverlaeufe

Auto-Matching (Agent-Zuordnung)

DATAZONE versucht automatisch, Wazuh Agents den bestehenden Hosts zuzuordnen:

1. IP-Adresse: Die IP des Wazuh Agents wird mit den IP-Adressen aller DATAZONE Hosts verglichen
2. Hostname: Der Name des Wazuh Agents wird mit den Hostnamen verglichen

Falls kein automatisches Match moeglich ist (z.B. bei NAT oder unterschiedlichen Hostnamen), koennen Sie die Zuordnung manuell vornehmen:

1. Gehen Sie zu Security → Agents Tab
2. Klicken Sie bei einem nicht-zugeordneten Agent auf Match
3. Waehlen Sie den passenden DATAZONE Host aus

Berechtigungen

Berechtigung	Wer braucht das	Was kann man damit
wazuh.view	Alle Benutzer die Security-Daten sehen sollen	Security Dashboard anzeigen, Host Security Tab sehen
wazuh.manage	Administratoren	Agent-Matching aendern, Sync triggern, Wazuh-Einstellungen bearbeiten

Konfigurationsdateien

Datei	Beschreibung
wazuh/opensearch.yml	Indexer-Konfiguration (TLS, Security Plugin, Kompatibilitaet)
wazuh/opensearch_dashboards.yml	Dashboard-Konfiguration (Reverse Proxy, TLS)
wazuh/internal_users.yml	Benutzer und Passwoerter fuer den Indexer
wazuh/generate-certs.sh	TLS-Zertifikat-Generator (einmalig)
wazuh/certs/	Generierte TLS-Zertifikate (nicht im Git!)

Fehlerbehebung

Agent erscheint nicht im Dashboard

Symptom: Der Wazuh Agent ist installiert und laeuft, aber er taucht nicht im Dashboard oder in der Agent-Liste auf.

Loesung:

1. Ports pruefen: Koennen die Ports 1514/1515 von aussen erreicht werden?

   Test-NetConnection control.datazone.de -Port 1514
   Test-NetConnection control.datazone.de -Port 1515

   Beide muessen TcpTestSucceeded: True zeigen.

2. Agent-Gruppen vorhanden? Pruefen Sie ob die Gruppen angelegt sind:

   docker exec datazone-wazuh-manager /var/ossec/bin/agent_groups -l

   Falls nicht, erstellen Sie sie (siehe Schritt 4).

3. Re-Enrollment ausfuehren: Fuehren Sie das Install-Script nochmal ueber DATAZONE Control aus. Es erkennt automatisch, ob ein Re-Enrollment noetig ist.

4. Manager-Logs pruefen:

   docker exec datazone-wazuh-manager grep -i 'authd\|error' /var/ossec/logs/ossec.log | tail -20

Dashboard-Login funktioniert nicht

Symptom: "Invalid username or password" beim Login mit admin / D4taz0ne!Wazuh#2025.

Loesung: Security-Config neu laden (muss nach jedem Indexer-Neustart gemacht werden):

docker exec datazone-wazuh-indexer bash -c '
  export JAVA_HOME=/usr/share/wazuh-indexer/jdk
  /usr/share/wazuh-indexer/plugins/opensearch-security/tools/securityadmin.sh \
    -cd /usr/share/wazuh-indexer/opensearch-security/ \
    -nhnv \
    -cacert /usr/share/wazuh-indexer/certs/root-ca.pem \
    -cert /usr/share/wazuh-indexer/certs/admin.pem \
    -key /usr/share/wazuh-indexer/certs/admin-key.pem \
    -h localhost
'

Danach Dashboard-Container neu starten:

docker compose restart wazuh-dashboard

Indexer startet nicht

docker compose logs wazuh-indexer --tail 50

Haeufige Ursachen:

• SSL-Fehler: Zertifikate nicht generiert → bash wazuh/generate-certs.sh
• Memory: Mindestens 1 GB fuer den Indexer. Pruefen Sie OPENSEARCH_JAVA_OPTS: "-Xms1g -Xmx1g" in der docker-compose.yml
• YAML-Fehler: Pruefen Sie wazuh/opensearch.yml auf Syntaxfehler

DATAZONE Backend kann nicht zu Wazuh verbinden

1. Einstellungen → Wazuh SIEM → Verbindung testen nutzen
2. Passwort in der DB pruefen:

   docker exec datazone-db psql -U datazone -d datazone_control \
     -c "SELECT value FROM settings WHERE key = 'wazuh_api_password';"

Agents werden nicht automatisch zugeordnet

• Ist Auto-Match in den Einstellungen aktiviert?
• Stimmt die IP-Adresse oder der Hostname zwischen Wazuh Agent und DATAZONE Host ueberein?
• Sync manuell ausloesen: Einstellungen → Wazuh SIEM → Jetzt synchronisieren

Glossar (Fachbegriffe einfach erklaert)

Falls Sie zum ersten Mal mit Sicherheitstools arbeiten, hier die wichtigsten Begriffe:

SIEM (Security Information and Event Management)

Ein System, das Logdaten von vielen Quellen sammelt, auswertet und bei verdaechtigen Aktivitaeten alarmiert. Stellen Sie es sich wie eine zentrale Ueberwachungszentrale vor, die alle Sicherheitskameras (=Logs) gleichzeitig im Blick hat. Wazuh ist ein SIEM.

XDR (Extended Detection and Response)

Eine Erweiterung von SIEM, die nicht nur Logs sammelt, sondern auch aktiv auf Bedrohungen reagieren kann (z.B. eine IP automatisch blockieren). Wazuh kann beides: SIEM + XDR.

CVE (Common Vulnerabilities and Exposures)

Eine weltweit eindeutige Kennung fuer bekannte Sicherheitsluecken in Software. Jede CVE hat eine Nummer (z.B. CVE-2024-12345) und beschreibt genau, welche Software betroffen ist und wie die Luecke ausgenutzt werden kann. Wazuh prueft, ob auf Ihren Hosts Software mit bekannten CVEs installiert ist.

CVSS (Common Vulnerability Scoring System)

Ein Punktesystem von 0 bis 10, das die Schwere einer Sicherheitsluecke (CVE) bewertet. Je hoeher der Score, desto gefaehrlicher die Luecke:

• 0-3.9: Niedrig - geringe Auswirkung
• 4.0-6.9: Mittel - spuerbare Auswirkung
• 7.0-8.9: Hoch - schwerwiegende Auswirkung
• 9.0-10.0: Kritisch - maximale Auswirkung, sofort handeln

MITRE ATT&CK

Ein oeffentliches Wissensarchiv, das dokumentiert wie Angreifer vorgehen. Jede Angriffstechnik hat eine Nummer (z.B. T1110 = Brute Force, T1059 = Scripting). Wenn Wazuh einen Alert erzeugt, ordnet es ihn automatisch einer MITRE ATT&CK-Technik zu. So sehen Sie nicht nur was passiert ist, sondern auch welche Angriffsmethode dahinter steckt.

Beispiele:

Technik	Name	Was es bedeutet
T1110	Brute Force	Jemand versucht Passwoerter durch Ausprobieren zu erraten
T1059	Command and Scripting	Verdaechtiger Script- oder Befehlsausfuehrung
T1078	Valid Accounts	Zugriff mit gueltigem, aber moeglicherweise gestohlenem Konto
T1565	Data Manipulation	Systemdaten wurden veraendert

SCA (Security Configuration Assessment)

Eine automatische Pruefung, ob Ihre Systeme sicher konfiguriert sind. Wazuh vergleicht hunderte Einstellungen mit Best-Practice-Empfehlungen und zeigt, welche Regeln bestanden und welche nicht bestanden haben.

CIS Benchmarks (Center for Internet Security)

Weltweit anerkannte Sicherheitsrichtlinien, die beschreiben, wie ein Betriebssystem sicher konfiguriert werden sollte. Es gibt Benchmarks fuer Windows, Linux, FreeBSD und viele andere Systeme. Wazuh prueft Ihre Hosts automatisch gegen diese Richtlinien.

Beispiele fuer CIS-Regeln:

• "Passwort muss mindestens 14 Zeichen lang sein"
• "Gastzugang muss deaktiviert sein"
• "SSH Root-Login muss verboten sein"
• "Firewall muss aktiviert sein"

FIM (File Integrity Monitoring)

Ueberwacht wichtige Systemdateien auf Veraenderungen. Wenn jemand z.B. /etc/passwd (Linux) oder die Windows Registry manipuliert, erzeugt FIM einen Alert. Dies hilft, unautorisierte Aenderungen oder Malware zu erkennen.

Enrollment

Der Vorgang, bei dem sich ein neuer Wazuh Agent erstmalig beim Wazuh Manager registriert. Dabei tauschen Agent und Manager Schluessel aus, die fuer die verschluesselte Kommunikation benoetigt werden. Das Enrollment findet ueber Port 1515 statt und muss nur einmal pro Agent durchgefuehrt werden.

Ports (Referenz)

Port	Protokoll	Richtung	Beschreibung
1514	TCP	Agent → Server	Agent-Daten (Logs, Events)
1515	TCP	Agent → Server	Agent-Enrollment (Erstregistrierung)
55000	TCP	Nur intern	Wazuh REST API (Backend → Manager)
9200	TCP	Nur intern	OpenSearch API (Manager → Indexer)
443	TCP	Nur intern	Wazuh Dashboard (via Nginx unter /wazuh/)