Školení Wazuh

Co je to Wazuh a k čemu se používá

Wazuh je open-source bezpečnostní platforma, která kombinuje funkce SIEM (Security Information and Event Management) a XDR (Extended Detection and Response). Slouží k centralizovanému sběru a analýze bezpečnostních událostí napříč infrastrukturou – od Linux a Windows serverů, přes kontejnery a Kubernetes až po cloudové služby. Pomáhá detekovat útoky, anomálie a podezřelé chování v reálném čase a poskytuje jednotné místo pro vyhodnocování a řízení incidentů.

Wazuh kromě analýzy logů nabízí i další klíčové bezpečnostní capability: File Integrity Monitoring (FIM) pro detekci změn v kritických souborech, Vulnerability Detection pro identifikaci zranitelných balíčků a komponent, Security Configuration Assessment (CIS-style kontroly) a Active Response pro automatizovanou reakci na incidenty (např. blokace IP, izolace hostu, zásah do firewallu).

Platforma je vhodná jak pro menší prostředí, tak pro organizace budující SOC nebo centralizovaný monitoring bezpečnosti. Díky předpřipraveným pravidlům a integračním možnostem (např. s ticketingem, notifikacemi nebo externími log zdroji) pomáhá i se splněním požadavků norem a regulací (např. GDPR, PCI DSS, ISO 27001) prostřednictvím auditních stop, evidence událostí a kontrol bezpečnostní konfigurace.

Jak školení probíhá

Školení probíhá formou praktického workshopu. Nejprve si vysvětlíme, jak Wazuh funguje, jaká je jeho architektura (Manager/Indexer/Dashboard, agenty) a jak navrhovat nasazení pro různé velikosti prostředí. Následně si Wazuh společně nainstalujeme (all-in-one i varianty pro škálování) a připojíme ho na ukázkové nebo vaše testovací servery.

Prakticky nasadíme agenty na Linux i Windows, nakonfigurujeme sběr logů a vyzkoušíme typické scénáře detekce: brute-force, podezřelé procesy, privilege escalation, změny v kritických souborech, logování sudo, RDP události, a další běžné bezpečnostní situace. Ukážeme si také práci s dashboards a vizualizacemi, filtraci událostí, korelaci a základní incident workflow.

Součástí školení je i tvorba vlastních pravidel a dekodérů pro atypické logy (např. logy aplikací, reverse proxy, custom audit logy), nastavení alertingu a volitelně i Active Response – tedy automatická reakce na detekovaný incident. V závěru si projdeme best practices pro provoz: ladění false positives, aktualizace pravidel, retence dat, výkon indexeru a bezpečné řízení přístupů.

Co se naučíte

• Instalace a architektura – komponenty Wazuh (Manager/Indexer/Dashboard), all-in-one vs. cluster deployment
• Nasazení agentů – Linux a Windows, policy, konfigurace sběru logů a telemetrie
• Detekce hrozeb – korelace událostí, pravidla, severity, práce s nálezy a incident workflow
• Vlastní pravidla a dekodéry – jak naučit Wazuh rozumět vašim logům a aplikacím
• FIM (File Integrity Monitoring) – detekce změn v kritických souborech, baseline a alerting
• Vulnerability Detection – identifikace zranitelného softwaru, prioritizace a reporting
• Security Configuration Assessment – kontroly konfigurací a compliance reporting
• Active Response – automatické reakce (blokace IP, firewall rules, izolace, skripty)
• Vizualizace a alerting – dashboardy, filtrování, notifikace, integrace (Slack/Teams/email)
• Best practices – tuning, práce s false positives, retence, výkon, provozní doporučení

Pro koho je školení určeno

Pro security analytiky, administrátory, DevOps a SOC týmy, kteří chtějí mít dohled nad bezpečností infrastruktury a zavést centralizovaný sběr a analýzu bezpečnostních událostí. Školení je vhodné jak pro organizace, které se SIEM/XDR teprve seznamují, tak pro týmy, které už mají logování a monitoring, ale chtějí přidat detekční schopnosti, automatizovat reakce a zlepšit auditovatelnost.

Kurz je přínosný i pro týmy, které řeší compliance požadavky a potřebují evidenci událostí, kontrolu konfigurací a rychlou identifikaci slabých míst (např. zranitelné balíčky nebo nebezpečné změny na serverech).

Technické požadavky

• Základní znalost Linuxu a práce v terminálu
• Základní přehled v bezpečnosti (logy, přístupy, síťová komunikace) výhodou
• Přístup na internet
• Docker (výhodou)