↑ Terug naar Cases
Cybersecurity

Wazuh SIEM: Enterprise Security Monitoring

Hoe we met Wazuh een enterprise-grade security monitoring platform bouwden: Proxmox orchestratie, actieve endpoint log-auditing en real-time Telegram incident-alerts.

Client
Bedrijfsinfrastructuur & Labs
Status
Actief (SOC monitoring)
Type
SIEM / IDS / Auditing
Technologie
Wazuh, Proxmox VE, Python
100%
Real-time log auditing
0
Datalekken onopgemerkt
<2s
Telegram-alert reactietijd
24/7/365
SOC Monitoring

Beveiligingsincidenten in het donker

Veel IT-omgevingen hebben geen centraal inzicht in wat er zich afspeelt op individuele servers en clients. Mislukte inlogpogingen, brute-force aanvallen op SSH-poorten, wijzigingen in kritieke systeembestanden (file integrity) en de uitvoering van verdachte scripts blijven vaak onopgemerkt.

Het doel van dit project was om een enterprise-grade **SIEM (Security Information and Event Management)** platform te implementeren. Dit systeem moest automatisch worden gedeployed, logs van alle Windows-, Linux- en macOS-systemen centraal verzamelen, en proactief waarschuwen bij verdachte activiteit.

De Uitdagingen

  • Geen centraal log-overzicht over meerdere OS-platforms
  • Overvloed aan valse alarmen (noise) maskeert echte incidenten
  • Handmatige server-installatie kost tijd en is foutgevoelig
  • Beveiligers missen snelle notificaties buiten het dashboard

De Oplossingen

  • Wazuh SIEM agents op alle kritieke endpoints
  • OSSEC regelsets om ruis te filteren en te prioriteren
  • Geautomatiseerde Proxmox deployment-scripts
  • Custom Python integratie voor directe Telegram notificaties

SOC Infrastructuur & Alerting

Wazuh SIEM is uitgerold als een centrale Linux VM op Proxmox. De auditing verloopt in drie lagen:

Automated Provisioning

Met behulp van `deploy_wazuh_vm.sh` wordt de VM automatisch aangemaakt en geconfigureerd op de hypervisor, inclusief opslag-toewijzing en netwerkconfiguratie.

File Integrity & Syscheck

De actieve agents scannen endpoints continu op wijzigingen in systeembestanden en registersleutels. Eventuele afwijkingen triggeren direct een alert.

Telegram Push-Alerts

Het custom integratiescript `wazuh-telegram-integration.py` stuurt alerts met prioriteit 7 of hoger direct door naar Telegram, inclusief IP-geolocatie en OSSEC-regels.

"Dankzij de Wazuh-integratie met Telegram worden we binnen enkele seconden gewaarschuwd bij brute-force pogingen op onze SSH-poorten en kunnen we direct IP-adressen blokkeren."

— IT & Security Administrator

Gebruikte technologieën

Wazuh SIEM (Elastic/Opensearch) Proxmox VE Python 3 OSSEC Rules Engine Bash & PowerShell Scripts Telegram Bot API

Wilt u ook uw infrastructuur proactief beveiligen?

Van SIEM-implementaties tot Intrusion Detection en security-hardening — ik ontwerp en bouw SOC-oplossingen op maat.

Bespreek uw project Bekijk andere cases