Wazuh IDS
Version vom 26. Juni 2026, 12:16 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=Wazuh-Agent auf dem IDS (Suricata)= Der IDS '''ids.dkbi.com''' läuft als reiner Sensor am OVS-Mirror-Port und liefert die East-West-Telemetrie an das SIEM. E…“)
Wazuh-Agent auf dem IDS (Suricata)
Der IDS ids.dkbi.com läuft als reiner Sensor am OVS-Mirror-Port und liefert die East-West-Telemetrie an das SIEM. Er sammelt und überträgt, führt aber keine Active Response aus:
- IDS — Suricata-eve-Feed (/var/log/suricata/eve.json, Alerts aus der local.rules)
Suricata-Decoder und -Regeln (Rule-IDs ab 86600) bringt Wazuh bereits mit. Der Agent ist hier ausschließlich Transport für eve.json an den Manager wazuh.dkbi.com.
Repository einrichten
- GPG-Schlüssel importieren
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import
chmod 644 /usr/share/keyrings/wazuh.gpg
- Repository hinzufügen
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" > /etc/apt/sources.list.d/wazuh.list
apt update
Agent installieren
- Agent mit Manager-Adresse und Namen installieren
WAZUH_MANAGER="wazuh.dkbi.com" WAZUH_AGENT_NAME="ids" apt install -y wazuh-agent
- Dienst aktivieren und starten
systemctl daemon-reload
systemctl enable --now wazuh-agent
- Repository deaktivieren (verhindert ungewollte Updates)
sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list
apt update
- Öffne das Wazuh-Dashboard, gehe zu Agent Management → Summary und prüfe, ob der Agent ids mit Status Active erscheint
eve.json anbinden
Der Suricata-Feed wird als statische localfile-Sektion eingebunden.
- Ergänze in /var/ossec/etc/ossec.conf folgenden Block:
<localfile>
<log_format>json</log_format>
<location>/var/log/suricata/eve.json</location>
</localfile>
Leserechte für den Agent
Suricata schreibt eve.json standardmäßig mit 0640 root:root — der wazuh-User kommt nicht heran und es werden keine Ereignisse übertragen.
- Zugriff testen
- sudo -u wazuh cat /var/log/suricata/eve.json > /dev/null
- Bei Permission denied in /etc/suricata/suricata.yaml unter outputs: eve-log: den Dateimodus setzen:
filetype: regular filename: eve.json filemode: 0644
- Suricata und Agent neu starten
systemctl restart suricata
systemctl restart wazuh-agent
Kontrolle
- Löse den Funktionstest aus (ICMP-Regel sid:9000041):
ping -c1 1.1.1.1
- Öffne im Dashboard Threat Hunting und filtere auf rule.groups: suricata
- Der Alert "ICMP Test" muss erscheinen