Wazuh SIEM: Intrusion Detection für die Home-Lab Infrastruktur

Warum SIEM im Home-Lab?

Wer 37+ Services auf zwei Hosts betreibt, muss wissen was passiert. Wazuh ist Open-Source, kostenlos und bietet Enterprise-Level Security Monitoring. Die drei Komponenten — Manager, Indexer, Dashboard — laufen als Docker Container auf dem Notebook (Lab01).

Was Wazuh überwacht

File Integrity Monitoring auf allen kritischen Systemen. Docker Container Events in Echtzeit. Log-Analyse für alle Services. Vulnerability Scanning der installierten Pakete. Rootkit Detection.

Docker Integration

Der Wazuh Docker Listener überwacht alle 16 Container auf Lab01. Jeder exec, start, stop, create Event wird erfasst. Alerts bei verdächtigen Aktivitäten.

Ressourcen

Wazuh ist hungrig. Der Indexer allein braucht 512 MB Heap. Zusammen mit Manager und Dashboard sind es ~2 GB RAM. Auf unserem Notebook ein signifikanter Anteil — aber die Sicherheit ist es wert.

Erfahrung

In den ersten 24 Stunden haben wir 3.411 Events registriert. Nach Tuning der False-Positive Whitelist sind es ~70 echte Alerts pro Tag. Kein einziger kritischer Alert bisher.