24-godzinne wyzwanie z Wazuhem i ekipą sekurak.pl. Wszystko, co chciałbyś wiedzieć o tym systemie SIEM

Jak efektywnie monitorować zdarzenia w sieci, jakiego narzędzia użyć – to kwestie, nad którymi zastanawia się niejeden admin pracujący w firmie lub organizacji rządowej/samorządowej. Szczególnie teraz, wobec rosnących wymagań związanych z bezpieczeństwem cybernetycznym i koniecznością zgodności z dyrektywą NIS2, sprostanie wyzwaniom związanym z monitorowaniem i rozliczaniem infrastruktury IT należy do priorytetowych kwestii. Jednym z ciekawszych systemów, który może pomóc sprostać tym wymaganiom, jest Wazuh.

Od 28 stycznia br. rozpoczynamy drugą edycję szkolenia WAZUH EXPERT, podczas której kompleksowo pokażemy, jak efektywnie wdrożyć i używać na co dzień tego dobrego i, co ważne, darmowego systemu monitorowania zdarzeń klasy SIEM. 

Pierwszą edycję tego szkolenia w ubiegłym roku ukończyło ponad 1000 osób, a średnia ocen uczestników to 4,9/5. W tej edycji dokładamy jeszcze więcej praktycznej, bardziej zaawansowanej wiedzy, aby maksymalnie wykorzystać potencjał narzędzia. Dodatkowo dzielimy kurs na część podstawową i zaawansowaną, aby to uczestnik mógł zdecydować, jak szczegółowo chce wnikać w temat i ile pieniędzy zamierza wydać na szkolenie w tym zakresie. Kurs przygotował i poprowadzi znany i lubiany trener sekuraka – Tomasz Turba.

Czym jest Wazuh?

Wazuh to jeden z najpopularniejszych systemów SIEM, który jest dostępny nieodpłatnie. Działa na wielu platformach i składa się z agenta, serwera i konsoli. Agent zbiera logi i powiadomienia o incydentach, serwer je przetwarza i podejmuje działania. Na dodatek wszystko może być zaprezentowane w przyjaznym interfejsie graficznym. 

Wazuh? Naprawdę warto!

O korzyściach płynących z wyboru Wazuha można by pisać wiele; poniżej przedstawiamy najważniejsze, naszym zdaniem, punkty, które powinny skłonić wszystkie osoby zajmujące się administracją IT oraz dbaniem o bezpieczeństwo sieci komputerowej, a także tych, którzy dopiero wkraczają w obszar cyberbezpieczeństwa, do zainteresowania się tym systemem. 

Bezpieczeństwo i monitoring: Wazuh to platforma do zarządzania bezpieczeństwem i monitorowania systemów, która oferuje funkcje takie jak: wykrywanie zagrożeń, analiza logów, monitorowanie integralności plików oraz zarządzanie podatnościami. Znajomość Wazuha pozwala na lepsze zabezpieczenie infrastruktury IT.

Otwartość i elastyczność: Wazuh jest systemem otwartoźródłowym, co oznacza, że możesz dostosować go do swoich potrzeb, modyfikować kod źródłowy i integrować z innymi narzędziami. To daje dużą elastyczność w porównaniu do zamkniętych rozwiązań.

Skalowalność: System Wazuh można skalować od pojedynczych maszyn do dużych, rozproszonych sieci, co jest korzystne zarówno dla małych firm, jak i dużych przedsiębiorstw.

Integracja z SIEM: Wazuh współpracuje z systemami SIEM (Security Information and Event Management), takimi jak ELK Stack (Elasticsearch, Logstash, Kibana), co umożliwia centralizację i analizę danych z różnych źródeł.

Edukacja i rozwój kariery: Znajomość narzędzi do monitorowania i bezpieczeństwa, takich jak Wazuh, jest cenną umiejętnością na rynku pracy. Może to otworzyć drzwi do nowych perspektyw zawodowych w dziedzinie cyberbezpieczeństwa.

Automatyzacja reakcji na incydenty: Wazuh oferuje możliwość automatyzacji odpowiedzi na wykryte incydenty bezpieczeństwa, co może znacząco zmniejszyć czas reakcji i minimalizować ryzyko.

Społeczność i wsparcie: Ze względu na fakt, że Wazuh to projekt typu open source, skupia on aktywną społeczność, która może dostarczyć wsparcia, dokumentacji oraz nowych pomysłów na rozwój narzędzia.

24 kroki do zostania ekspertem Wazuha

Wazuh to, w naszej ocenie, naprawdę solidny system, który warto poznać bliżej. Jak to zrobić? Najlepiej ze sprawdzonym partnerem i dobrym trenerem!

WAZUH EXPERT w nowej odsłonie to cykl ośmiu spotkań na żywo, trwających minimum trzy godziny (24 godziny łącznie!) każde, podzielonych na dwa moduły: podstawowy i zaawansowany. Sesje odbywają się online w terminach: 28 stycznia 2025 r., 4, 11, 18, 25 lutego 2025 r. + moduł zaawansowany (trzy sesje) – w terminach: 4, 11 i 18 marca 2025 r., w godzinach 19:00–22:00. 

W trakcie serii szkoleń rozłożymy Wazuha na czynniki pierwsze. Wspólnie przejdziemy proces instalacji, konfiguracji serwera, agenta, interfejsu graficznego, dojdziemy do samodzielnego tworzenia reguł i alarmów, będzie również okazja do wykonania praktycznych ćwiczeń pokazywanych przez prowadzącego. Zostaną wskazane także dobre praktyki do pracy z narzędziem w życiu codziennym administratora lub inżyniera SOC. Cała administracja serwerem, odpowiednie konfiguracje oraz kwestie związane z bezpieczeństwem Wazuha. 

Ta edycja została rozszerzona nie tylko o trzy nowe szkolenia z zakresu integracji Wazuha. 

W modułach podstawowym i zaawansowanym każde szkolenie będzie rozbudowane o doświadczenia zebrane przez trenera od uczestników z poprzedniej edycji, czyli ćwiczenia zostaną nieco zmodyfikowane, a niektóre przykłady będą „wyjęte” wprost z troubleshootingu z codziennej pracy uczestników. Każdy otrzyma także zaktualizowaną wersję e-booka, rozbudowaną o nowe wątki i ćwiczenia.

Trzy nowe szkolenia z modułu zaawansowanego to zajrzenie w głąb serwera i agenta, a następnie skupienie się na czasochłonnych i trudnych integracjach, które odzwierciedlają realne scenariusze życiowe – tak, jak na co dzień pracuje się z systemami SIEM.

[UWAGA!] Aby w pełni skorzystać z przekazywanych treści, warto mieć elementarną wiedzę w następującym zakresie:

• podstawy działania systemów bazujących na Linuksie (korzystanie z systemów w stopniu podstawowym – operacje na plikach, katalogach, połączeniach sieciowych, a także wiedza teoretyczna);
• protokoły sieciowe (przede wszystkim: TCP/UDP), model OSI/ISO, a także routing.

AGENDA

Poniżej znajdziecie szczegółową agendę szkolenia WAZUH EXPERT. Każde z ośmiu spotkań składających się na cykl szkoleniowy potrwa trzy godziny, z zastrzeżeniem, że może się trochę przedłużyć 🙂

Trener zawsze stara się odpowiadać na wszystkie pytania uczestników!

MODUŁ PODSTAWOWY (SESJE I–V)

Sesja nr I: Wazuh – wprowadzenie, instalacja i konfiguracja

1. Wprowadzenie do Wazuha:
   • Co to jest Wazuh i jakie problemy rozwiązuje.
   • Przegląd architektury Wazuha.
2. Przygotowanie środowiska:
   • Wymagania systemowe.
   • Przygotowanie maszyny wirtualnej i fizycznej z systemem Linux.
3. Instalacja Wazuha:
   • Pobieranie i instalacja serwera Wazuh.
   • Konfiguracja bazowa i instalacja dodatków.
4. Podstawowa konfiguracja:
   • Konfiguracja agenta Wazuh na systemach Linux i Windows.
   • Testowanie połączenia, tuning bazowy.
5. Podsumowanie i sesja Q&A.

Do szkolenia zostanie dołączone praktyczne ćwiczenie – laboratorium do samodzielnej realizacji.

Sesja nr II: Wazuh – konfiguracja szczegółowa i troubleshooting

1. Zaawansowana konfiguracja:
   • Konfiguracja reguł i polityk bezpieczeństwa.
   • Tworzenie i modyfikacja dekoderów.
2. Integracja z innymi narzędziami:
   • Integracja z Elastic Stack (Elasticsearch, Logstash, Kibana).
   • Konfiguracja logowania i monitoringu.
3. Troubleshooting:
   • Rozwiązywanie typowych problemów z instalacją i konfiguracją.
   • Analiza logów i błędów.
4. Podsumowanie i sesja Q&A. 

Do szkolenia zostanie dołączone praktyczne ćwiczenie – laboratorium do samodzielnej realizacji.

Sesja nr III: Wazuh – zarządzanie serwerem i bezpieczeństwo systemu

1. Zarządzanie użytkownikami:

• Tworzenie kont użytkowników i zarządzanie nimi w Wazuhu.
• Konfiguracja ról i uprawnień użytkowników.
• Implementacja polityk bezpieczeństwa dla użytkowników.
• Audyt i monitorowanie działań użytkowników.

2. Bezpieczeństwo systemu:

• Zabezpieczenie komunikacji między komponentami Wazuha (SSL/TLS).
• Konfiguracja i zarządzanie zaporami sieciowymi.
• Implementacja polityk bezpieczeństwa systemu operacyjnego.
• Monitorowanie i reakcja na próby naruszenia bezpieczeństwa.

3. Backup i przywracanie danych:

• Strategie tworzenia kopii zapasowych dla Wazuha.
• Konfiguracja automatycznego backupu.
• Procedury przywracania danych w przypadku awarii.

4. Analiza i raportowanie:

• Tworzenie niestandardowych raportów bezpieczeństwa.
• Konfiguracja powiadomień i alertów dotyczących naruszeń bezpieczeństwa.
• Analiza logów pod kątem wykrywania potencjalnych zagrożeń.

5. Podsumowanie i sesja Q&A.

Do szkolenia zostanie dołączone praktyczne ćwiczenie – laboratorium do samodzielnej realizacji.

Sesja nr IV: Wazuh – reagowanie na incydenty

1. Wprowadzenie do podstawowych pojęć i zagrożeń.
2. Wykrywanie i reagowanie na incydenty:
   • Tworzenie reguł detekcji i zarządzanie nimi.
   • Analiza i reagowanie na alerty.
3. Symulacja ataku i analiza jego skutków za pomocą Wazuha.
4. Przykłady realnych incydentów i reagowania na nie.
5. Podsumowanie i sesja Q&A.

Do szkolenia zostanie dołączone praktyczne ćwiczenie – laboratorium do samodzielnej realizacji.

Sesja nr V: Wazuh – konfiguracje zaawansowane

1. Wprowadzenie do instalacji klastrowej:
   • Korzyści wynikające z użycia klastra.
   • Przegląd architektury klastrowej.
2. Instalacja klastra:
   • Konfiguracja węzłów klastra.
   • Load balancing i redundancja.
3. Skalowanie i optymalizacja:
   • Monitorowanie wydajności.
   • Optymalizacja konfiguracji pod kątem wydajności.
4. Podsumowanie i sesja Q&A.

MODUŁ ZAAWANSOWANY (SESJE VI–VIII)

Sesja nr VI: Wazuh – konfiguracje zaawansowane

1. Integracja z usługami zewnętrznymi:
   • Wykrywanie zagrożeń w środowisku Office 365.
   • Wykrywanie sygnatur za pomocą YARA.
   • Wzbogacanie komunikatów za pomocą ChatGPT.
   • Automatyzacja za pomocą Ansible.
   • Integracja innych rozwiązań za pomocą API.
2. Monitorowanie zdarzeń w kontenerach.
3. Monitorowanie infrastruktury chmurowej.
4. Aktualizacja agentów przez polityki GPO.
5. Podsumowanie i sesja Q&A.

Sesja nr VII: Wazuh – optymalizacje zaawansowane

1. Odnajdywanie wąskich gardeł za pomocą Prometheus i Grafana.
2. Monitorowanie wydajności indeksowań i zapytań.
3. Implementacja Cross-Cluster Search.
4. Automatyzacja audytów zgodności i raportowania za pomocą Global Compliance Dashboard.
5. Zarządzanie automatyzacją reakcji na incydenty za pomocą Jira.
6. Optymalizacja retencji danych i zarządzanie logami.
7. Sesja Q&A.

Sesja nr VIII: Wazuh – integracje eksperta

1. Integracja z MISP.
2. Integracja z Suricata.
3. Integracja z Zeek.
4. Integracja z Zabbix.
5. Integracja z OpenVAS.
6. Integracja z Git.
7. Integracja z Graylog.
8. Integracja z OTRS.
9. Integracja z nmap i ChatGPT.
10. Integracja z OSSIM AlienVault.
11. Integracja z Atlassian Jira.
12. Integracja z Sysmon.
13. Sesja Q&A.

TRENER

OPINIE O POPRZEDNIEJ EDYCJI SZKOLENIA

Pierwszą edycję tego szkolenia w ubiegłym roku ukończyło ponad 1000 osób, a średnia ocen uczestników to 4,9/5. Przeczytaj opinie osób, które wzięły udział w poprzedniej edycji:

• Bardzo dobrze prowadzone szkolenie. Dla osoby, która stawia pierwsze kroki z Wazuhem, była to bardzo dobra dawka wiedzy na wstęp. Jestem bardzo zainteresowany dalszą częścią szkolenia.
• Tomek Turba, jak zawsze, w formie! Merytoryka też na najwyższym poziomie, TT porusza tematy, o które człowiek chciałby zapytać, a tu proszę, wszystko w pakiecie. 🙂
• Mam już pewne doświadczenie z Wazuhem, więc ten kurs był dla mnie swoistym przypomnieniem i uzupełnieniem wiedzy. Aczkolwiek udało się też dowiedzieć czegoś nowego, uzyskać odpowiedzi na nurtujące pytania i zobaczyć troubleshooting podobnych problemów, co sam miałem. W skrócie SZTOS !!! Spora dawka wiedzy i czekam na kolejną część z bardziej zaawansowanymi zagadnieniami. :D
• Mega. Czuję się pozytywnie po„Turbowany” natłokiem informacji.
• Jako świeżak w Wazuhu jestem pod wrażeniem wiedzy
• Gratuluję przygotowania, też szkolę z Wazuha :) pozdrowienia
• Oczywiście, jak zwykle, Wujek Tomek na najwyższych obrotach przedstawił ogrom wiedzy teoretycznej i praktycznej. Wielki szacunek.
• Fajnie wyszedł ten troubleshooting na żywo – bardzo doceniam
• Jestem początkujący w temacie, więc dla mnie wszystko nowe i ciekawe
• Samo mięso. Sporo czasu zajmie wprowadzenie Wazuha do produkcji. Dzięki.
• Naprawdę kawał dobrej roboty.
• Podoba mi się, że w ćwiczeniach jest to samo lub rozszerzenie tego, co na szkoleniu – utrwalenie TAKIEJ ILOŚCI wiedzy to fundament.
• Jako pracownik SOC potwierdzam całość szkolenia…