Hoe we met Wazuh een enterprise-grade security monitoring platform bouwden: Proxmox orchestratie, actieve endpoint log-auditing en real-time Telegram incident-alerts.
Veel IT-omgevingen hebben geen centraal inzicht in wat er zich afspeelt op individuele servers en clients. Mislukte inlogpogingen, brute-force aanvallen op SSH-poorten, wijzigingen in kritieke systeembestanden (file integrity) en de uitvoering van verdachte scripts blijven vaak onopgemerkt.
Het doel van dit project was om een enterprise-grade **SIEM (Security Information and Event Management)** platform te implementeren. Dit systeem moest automatisch worden gedeployed, logs van alle Windows-, Linux- en macOS-systemen centraal verzamelen, en proactief waarschuwen bij verdachte activiteit.
Wazuh SIEM is uitgerold als een centrale Linux VM op Proxmox. De auditing verloopt in drie lagen:
Met behulp van `deploy_wazuh_vm.sh` wordt de VM automatisch aangemaakt en geconfigureerd op de hypervisor, inclusief opslag-toewijzing en netwerkconfiguratie.
De actieve agents scannen endpoints continu op wijzigingen in systeembestanden en registersleutels. Eventuele afwijkingen triggeren direct een alert.
Het custom integratiescript `wazuh-telegram-integration.py` stuurt alerts met prioriteit 7 of hoger direct door naar Telegram, inclusief IP-geolocatie en OSSEC-regels.
"Dankzij de Wazuh-integratie met Telegram worden we binnen enkele seconden gewaarschuwd bij brute-force pogingen op onze SSH-poorten en kunnen we direct IP-adressen blokkeren."
— IT & Security AdministratorVan SIEM-implementaties tot Intrusion Detection en security-hardening — ik ontwerp en bouw SOC-oplossingen op maat.
Bespreek uw project Bekijk andere cases