Inbraakdetectie & Monitoring 14 min leestijd

Wazuh Installeren en Configureren op Linux: Complete Gids voor Inbraakdetectie en SIEM

Leer stap voor stap hoe je Wazuh 4.14 installeert en configureert als open-source IDS en SIEM op Linux. Met file integrity monitoring, active response, kwetsbaarheidsscanning en compliance monitoring.

Editorial Team

Introductie: Waarom je Wazuh nodig hebt in 2026

Je firewall staat strak geconfigureerd, SSH is dichtgetimmerd met certificaten en je supply chain is gesigned met Sigstore. Mooi. Maar hoe weet je eigenlijk of iemand tóch binnenkomt? Hoe detecteer je dat een aanvaller bestanden wijzigt, privileges escaleert of lateraal door je netwerk beweegt? Precies daar bewijst een intrusion detection systeem (IDS) zijn waarde — en eerlijk gezegd is Wazuh in 2026 het meest complete open-source platform dat je daarvoor kunt inzetten.

De cijfers liegen er niet om. In 2025 werden er 5.530 CVE-meldingen geregistreerd voor de Linux-kernel alleen al — een stijging van 28% ten opzichte van het jaar daarvoor. Webshells vormen met 49,6% het meest voorkomende type Linux-malware, en AI-gestuurde botnets scannen het internet op industriële schaal. Traditionele loganalyse met syslog en handmatige controles? Dat volstaat gewoon niet meer.

Je hebt realtime detectie, geautomatiseerde respons en gecentraliseerde monitoring nodig.

Wazuh biedt dit alles — en het is volledig gratis en open source. De nieuwste versie, Wazuh 4.14.3 (uitgebracht op 11 februari 2026), combineert host-based intrusion detection (HIDS), security information and event management (SIEM) en extended detection and response (XDR) in één platform. In deze gids laat ik je stap voor stap zien hoe je Wazuh installeert en configureert op een Linux-server, inclusief file integrity monitoring, active response en kwetsbaarheidsscanning.

Wat is Wazuh en hoe werkt de architectuur?

Wazuh is in 2015 ontstaan als een fork van OSSEC, het klassieke open-source HIDS-project. Waar OSSEC inmiddels grotendeels in onderhoudsmodus staat (de laatste stabiele release is versie 3.8.0 uit 2021 — ja, dat lees je goed), wordt Wazuh actief doorontwikkeld met meerdere releases per jaar. Het platform heeft zich ontwikkeld van een puur host-based IDS tot een volwaardig beveiligingsplatform.

De vier kerncomponenten

De architectuur van Wazuh draait om vier hoofdcomponenten die samenwerken:

  • Wazuh Agent — Lichtgewicht software die je installeert op endpoints (servers, VM's, containers). De agent verzamelt beveiligingsdata zoals logs, file integrity-wijzigingen, systeeminventaris en configuratiegegevens, en stuurt alles door naar de Wazuh Server.
  • Wazuh Server (Manager) — Het brein van het geheel. De manager ontvangt data van agents, past detectieregels toe, correleert events en genereert alerts. De analyse-engine vergelijkt binnenkomende data met duizenden ingebouwde regels en MITRE ATT&CK-mappings.
  • Wazuh Indexer — Gebaseerd op OpenSearch. De indexer slaat alle alerts en events op en maakt ze doorzoekbaar. Filebeat verzorgt het veilig doorsturen van data van de server naar de indexer.
  • Wazuh Dashboard — Een webgebaseerde interface voor het visualiseren van alerts, het beheren van agents en het uitvoeren van threat hunting. De communicatie met de server verloopt via een RESTful API.

Eventflow in de praktijk

Zo werkt het in de praktijk: agents op je endpoints verzamelen continu beveiligingsdata. Die data wordt naar de Wazuh Server gestuurd via TCP op poorten 1514 en 1515. De analyse-engine past vervolgens regelsets toe om bedreigingen te identificeren. Gegenereerde alerts worden verrijkt met metadata (regel-ID, ernst, MITRE-mapping) en doorgestuurd naar de indexer. Via het dashboard kun je alerts in realtime bekijken, zoeken en analyseren.

Klinkt logisch, toch? Laten we aan de slag gaan.

Systeemvereisten en voorbereiding

Voordat je begint met installeren, moet je even je hardware en besturingssysteem controleren. Wazuh vereist een 64-bit Linux-processor (x86_64/AMD64 of AARCH64/ARM64 — ARM-ondersteuning is er sinds versie 4.12.0, wat fijn is als je op ARM-servers draait).

Hardwarevereisten

De vereisten hangen af van hoe groot je deployment wordt:

  • All-in-one deployment (server, indexer en dashboard op één host) — Geschikt voor maximaal 100 endpoints. Minimaal 4 CPU-cores en 8 GB RAM aanbevolen.
  • Tot 100 agents — 4 CPU-cores, 8 GB RAM, 50 GB SSD-opslag
  • Tot 1.000 agents — 32 CPU-cores, 64 GB RAM, gedistribueerde deployment aanbevolen
  • Productieomgeving — Wazuh schaalt beter horizontaal dan verticaal. Het is effectiever om extra Wazuh-servers toe te voegen dan de resources van één server te verdubbelen.

Ondersteunde besturingssystemen

De centrale componenten (server, indexer, dashboard) draaien op:

  • Ubuntu 18.04, 20.04, 22.04, 24.04 LTS
  • Red Hat Enterprise Linux 7, 8, 9
  • CentOS 7, 8 Stream
  • AlmaLinux 8, 9, 10
  • Amazon Linux 2

De Wazuh Agent ondersteunt daarnaast ook Windows, macOS, Solaris en AIX — handig als je een gemixte omgeving hebt.

Voorbereiding van de server

Zorg dat je server up-to-date is en de benodigde basispakketten bevat:

# Ubuntu / Debian
sudo apt update && sudo apt upgrade -y
sudo apt install -y curl apt-transport-https gnupg2 lsb-release

# RHEL / AlmaLinux / CentOS
sudo dnf update -y
sudo dnf install -y curl gnupg2

Open vervolgens de benodigde poorten in je firewall. Als je nftables gebruikt (zie onze nftables hardening gids), voeg dan deze regels toe:

# Poorten voor Wazuh-communicatie
# 1514/tcp — Agent-communicatie
# 1515/tcp — Agent-registratie
# 443/tcp  — Wazuh Dashboard (HTTPS)
# 9200/tcp — Wazuh Indexer API

nft add rule inet firewall input tcp dport { 1514, 1515 } accept comment "Wazuh agent communicatie"
nft add rule inet firewall input tcp dport 443 accept comment "Wazuh Dashboard"
nft add rule inet firewall input tcp dport 9200 ip saddr 127.0.0.1 accept comment "Wazuh Indexer lokaal"

Wazuh Server installeren: stap voor stap

Wazuh biedt twee installatiemethoden: een geautomatiseerde installer en een handmatige stap-voor-stap procedure. Persoonlijk raad ik voor productieomgevingen de geautomatiseerde installer aan — die configureert server, indexer en dashboard in één keer correct. Scheelt een hoop gepruts.

Methode 1: Geautomatiseerde installatie (aanbevolen)

Download en voer het officiële installatiescript uit:

# Download de Wazuh installer
curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh

# Maak het script uitvoerbaar
chmod +x wazuh-install.sh

# Voer de all-in-one installatie uit
sudo ./wazuh-install.sh -a

Het script installeert automatisch de Wazuh Server, Indexer en Dashboard. Na afloop toont het de inloggegevens voor het dashboard — sla deze absoluut veilig op! Je wilt niet met een vergeten wachtwoord zitten. Het dashboard is daarna bereikbaar via https://<server-ip>.

Methode 2: Handmatige installatie op Ubuntu

Wil je meer controle over het installatieproces? Dan kun je de componenten apart installeren:

# 1. Importeer de Wazuh GPG-sleutel
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --no-default-keyring   --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import &&   sudo chmod 644 /usr/share/keyrings/wazuh.gpg

# 2. Voeg de Wazuh repository toe
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" |   sudo tee /etc/apt/sources.list.d/wazuh.list

# 3. Update pakketlijsten en installeer de Wazuh Manager
sudo apt update
sudo apt install -y wazuh-manager

# 4. Start en activeer de service
sudo systemctl daemon-reload
sudo systemctl enable wazuh-manager
sudo systemctl start wazuh-manager

# 5. Controleer de status
sudo systemctl status wazuh-manager

Versie controleren

# Controleer de geïnstalleerde versie
/var/ossec/bin/wazuh-control info

# Verwachte output bevat: WAZUH_VERSION="v4.14.3"

Wazuh Agents installeren en registreren

Na de serverinstallatie is het tijd om agents te installeren op de endpoints die je wilt monitoren. De agent is lichtgewicht en heeft nauwelijks impact op de prestaties van je systeem — in mijn ervaring merk je er vrijwel niks van.

Agent installatie op Ubuntu/Debian

# Voeg de Wazuh repository toe (indien nog niet aanwezig)
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --no-default-keyring   --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import &&   sudo chmod 644 /usr/share/keyrings/wazuh.gpg

echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" |   sudo tee /etc/apt/sources.list.d/wazuh.list

# Installeer de agent met het server-adres
WAZUH_MANAGER="10.0.0.10" sudo apt install -y wazuh-agent

# Start de agent
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Agent installatie op RHEL/AlmaLinux

# Voeg de Wazuh repository toe
sudo rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH

cat <<EOF | sudo tee /etc/yum.repos.d/wazuh.repo
[wazuh]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=Wazuh repository
baseurl=https://packages.wazuh.com/4.x/yum/
protect=1
EOF

# Installeer en configureer de agent
WAZUH_MANAGER="10.0.0.10" sudo dnf install -y wazuh-agent

# Start de agent
sudo systemctl daemon-reload
sudo systemctl enable wazuh-agent
sudo systemctl start wazuh-agent

Registratie verifiëren

Controleer op de Wazuh Server of de agent correct is geregistreerd:

# Lijst van geregistreerde agents
/var/ossec/bin/manage_agents -l

# Of via de Wazuh API
curl -k -u admin:<wachtwoord> "https://localhost:55000/agents?pretty"

In het Wazuh Dashboard verschijnt de nieuwe agent onder Agents Management → Summary. Staat de status op "Active"? Dan zit je goed.

File Integrity Monitoring (FIM) configureren

File Integrity Monitoring is wat mij betreft een van de krachtigste functies van Wazuh. Het detecteert het aanmaken, wijzigen en verwijderen van bestanden door cryptografische checksums te vergelijken. En sinds versie 4.12.0 ondersteunt Wazuh ook eBPF voor FIM, waardoor wijzigingen in realtime worden gedetecteerd op kernel-niveau — sneller en efficiënter dan de traditionele auditd- of inotify-methoden.

Basisconfiguratie

FIM wordt geconfigureerd in het syscheck-blok van /var/ossec/etc/ossec.conf op de agent. Standaard is FIM al ingeschakeld met een scanfrequentie van 12 uur, maar voor een beveiligde server wil je dit flink uitbreiden:

<ossec_config>
  <syscheck>
    <!-- Scanfrequentie: elke 6 uur (in seconden) -->
    <frequency>21600</frequency>

    <!-- Kritieke systeemmappen monitoren -->
    <directories check_all="yes" realtime="yes">/etc</directories>
    <directories check_all="yes" realtime="yes">/usr/bin</directories>
    <directories check_all="yes" realtime="yes">/usr/sbin</directories>
    <directories check_all="yes" realtime="yes">/boot</directories>

    <!-- SSH-configuratie met inhoudrapportage -->
    <directories check_all="yes" realtime="yes" report_changes="yes">/etc/ssh</directories>

    <!-- Webroot monitoren -->
    <directories check_all="yes" realtime="yes" report_changes="yes">/var/www</directories>

    <!-- Cron-jobs monitoren -->
    <directories check_all="yes" realtime="yes">/etc/cron.d</directories>
    <directories check_all="yes" realtime="yes">/var/spool/cron</directories>

    <!-- Who-data: registreer welke gebruiker en welk proces de wijziging maakte -->
    <directories check_all="yes" whodata="yes" report_changes="yes">/etc/passwd</directories>
    <directories check_all="yes" whodata="yes" report_changes="yes">/etc/shadow</directories>
    <directories check_all="yes" whodata="yes" report_changes="yes">/etc/sudoers</directories>

    <!-- Directories uitsluiten -->
    <ignore>/etc/mtab</ignore>
    <ignore>/etc/resolv.conf</ignore>
    <ignore type="sregex">^/etc/.*\.swp$</ignore>
  </syscheck>
</ossec_config>

Belangrijke FIM-attributen uitgelegd

  • realtime="yes" — Schakelt continue monitoring in via inotify (of eBPF op ondersteunde systemen). Wijzigingen worden direct gedetecteerd, niet pas bij de volgende geplande scan.
  • report_changes="yes" — Rapporteert de exacte inhoudelijke wijzigingen in tekstbestanden. Let op: Wazuh kopieert gemonitorde bestanden naar een privélocatie, dus dat kost extra schijfruimte.
  • whodata="yes" — Verrijkt alerts met informatie over welke gebruiker en welk proces de wijziging maakte. Maakt gebruik van het Linux Audit-subsysteem.
  • check_all="yes" — Controleert alle bestandsattributen: grootte, permissies, eigenaar, groep, MD5, SHA1, SHA256 en tijdstempels.

Na het wijzigen van de configuratie, herstart je de agent:

sudo systemctl restart wazuh-agent

Active Response: automatisch aanvallen blokkeren

Dit is waar het echt interessant wordt. Active Response is het punt waar Wazuh de stap maakt van detectie naar geautomatiseerde verdediging. Wanneer een specifieke regel triggert, voert Wazuh automatisch een script uit op het betrokken endpoint — bijvoorbeeld het blokkeren van een IP-adres bij een brute-force aanval.

SSH brute-force aanvallen blokkeren

Een van de meest voorkomende aanvalsscenario's (en als je ooit een publiek bereikbare SSH-server hebt gehad weet je precies wat ik bedoel) is een SSH brute-force aanval. Wazuh detecteert dit standaard via regel 5763 ("SSHD brute force trying to get access to the system"). Met Active Response kun je het aanvallende IP automatisch blokkeren.

Voeg de volgende configuratie toe aan /var/ossec/etc/ossec.conf op de Wazuh Server:

<ossec_config>
  <!-- Commando-definitie (standaard al aanwezig) -->
  <command>
    <name>firewall-drop</name>
    <executable>firewall-drop</executable>
    <timeout_allowed>yes</timeout_allowed>
  </command>

  <!-- Active response: blokkeer IP bij SSH brute force -->
  <active-response>
    <disabled>no</disabled>
    <command>firewall-drop</command>
    <location>local</location>
    <rules_id>5763</rules_id>
    <timeout>600</timeout>
  </active-response>

  <!-- Active response: blokkeer bij herhaalde authenticatiefouten -->
  <active-response>
    <disabled>no</disabled>
    <command>firewall-drop</command>
    <location>local</location>
    <rules_id>5712</rules_id>
    <timeout>300</timeout>
  </active-response>
</ossec_config>

Parameters uitgelegd

  • <command> — Verwijst naar het firewall-drop-script in /var/ossec/active-response/bin/. Dit script gebruikt iptables (of nftables met een wrapper) om het aanvallende IP te blokkeren.
  • <location>local</location> — Het script wordt uitgevoerd op het endpoint waar de aanval plaatsvindt, niet centraal op de server.
  • <rules_id>5763</rules_id> — Triggert bij regel 5763 (SSH brute force). Regel 5712 dekt herhaalde authenticatiefouten in het algemeen.
  • <timeout>600</timeout> — Het IP-adres wordt 600 seconden (10 minuten) geblokkeerd, waarna de blokkade automatisch wordt opgeheven.

Herstart de Wazuh Manager na de configuratiewijziging:

sudo systemctl restart wazuh-manager

Active Response verifiëren

Je kunt Active Response-acties monitoren in het logbestand:

# Bekijk active response logs
sudo tail -f /var/ossec/logs/active-responses.log

# Controleer of een IP geblokkeerd is
sudo iptables -L INPUT -n | grep DROP

In het Wazuh Dashboard verschijnen Active Response-alerts onder regel-ID 651. Je ziet precies welk IP is geblokkeerd, wanneer, en welke trigger-regel de actie heeft geïnitieerd. Best bevredigend om te zien, trouwens.

Kwetsbaarheidsdetectie configureren

Wazuh kan ook automatisch software op je endpoints scannen op bekende kwetsbaarheden. De agents verzamelen software-inventarisdata en sturen die naar de server, waar het wordt gecorreleerd met continu bijgewerkte CVE-databases. Sinds versie 4.12.0 worden kwetsbaarheden verrijkt met Cyber Threat Intelligence (CTI) referenties, zodat je direct kunt doorklikken naar gedetailleerde informatie over elke CVE.

Vulnerability Detector inschakelen

Bewerk /var/ossec/etc/ossec.conf op de Wazuh Server en zorg dat het vulnerability-detector-blok is ingeschakeld:

<ossec_config>
  <vulnerability-detector>
    <enabled>yes</enabled>
    <interval>5m</interval>
    <min_full_scan_interval>6h</min_full_scan_interval>
    <run_on_start>yes</run_on_start>

    <!-- NVD (National Vulnerability Database) -->
    <provider name="nvd">
      <enabled>yes</enabled>
      <update_interval>1h</update_interval>
    </provider>

    <!-- Canonical (Ubuntu) -->
    <provider name="canonical">
      <enabled>yes</enabled>
      <os>jammy</os>
      <os>noble</os>
      <update_interval>1h</update_interval>
    </provider>

    <!-- Red Hat -->
    <provider name="redhat">
      <enabled>yes</enabled>
      <os>9</os>
      <update_interval>1h</update_interval>
    </provider>
  </vulnerability-detector>
</ossec_config>

Na het herstarten van de Wazuh Manager worden kwetsbaarheden automatisch gedetecteerd en weergegeven in het dashboard onder Vulnerability Detection. Je kunt filteren op ernst (Critical, High, Medium, Low), pakket en CVE-ID.

Aangepaste regels schrijven

Naast de duizenden ingebouwde regels kun je ook je eigen detectieregels toevoegen. Ik vind dit eerlijk gezegd een van de leukste onderdelen van werken met Wazuh — je kunt heel gericht applicatiespecifiek gedrag monitoren of verdachte patronen detecteren die standaardregels niet afvangen.

Voorbeeld: sudo-misbruik detecteren

Voeg een aangepaste regel toe in /var/ossec/etc/rules/local_rules.xml op de Wazuh Server:

<group name="custom_sudo,">
  <!-- Detecteer sudo naar een ongebruikelijke shell -->
  <rule id="100010" level="12">
    <if_sid>5401</if_sid>
    <match>sudo:.*COMMAND=/bin/bash|COMMAND=/bin/sh|COMMAND=/usr/bin/bash</match>
    <description>Verdacht: gebruiker opende een root-shell via sudo.</description>
    <group>authentication_success,pci_dss_10.2.5,</group>
  </rule>

  <!-- Detecteer sudo-gebruik buiten kantooruren -->
  <rule id="100011" level="10">
    <if_sid>5402</if_sid>
    <time>22:00-06:00</time>
    <description>Sudo-gebruik gedetecteerd buiten kantooruren.</description>
    <group>authentication_success,</group>
  </rule>
</group>

Test je regels altijd voordat je ze in productie neemt:

# Test de regelset op syntaxfouten
/var/ossec/bin/wazuh-logtest

# Herstart de manager om nieuwe regels te laden
sudo systemctl restart wazuh-manager

Compliance monitoring: CIS Benchmarks en meer

Wazuh bevat een Security Configuration Assessment (SCA)-module die je systemen automatisch controleert tegen industriestandaarden. In versie 4.14.3 zijn SCA-policies beschikbaar voor onder andere:

  • CIS Benchmark voor Ubuntu 22.04 LTS (v2.0.0)
  • CIS Benchmark voor RHEL 9 en 10
  • CIS Benchmark voor AlmaLinux 10
  • CIS Benchmark voor CentOS Stream 10
  • CIS Benchmark voor Windows Server 2025

SCA draait automatisch als onderdeel van de agent en rapporteert bevindingen naar het dashboard. Per check zie je of je systeem "Passed", "Failed" of "Not applicable" scoort, inclusief een beschrijving van de aanbevolen remediatie.

Dit is bijzonder waardevol als je moet voldoen aan compliance-frameworks zoals PCI-DSS, HIPAA, GDPR of ISO 27001. Wazuh mapt zijn regels en SCA-checks automatisch naar de relevante compliance-vereisten — dat scheelt je enorm veel handmatig werk.

Integratie met je bestaande infrastructuur

Wazuh staat niet op zichzelf. Het integreert naadloos met tools die je waarschijnlijk al in gebruik hebt.

Suricata (Network IDS)

Combineer Wazuh met Suricata voor netwerkgebaseerde inbraakdetectie. Suricata analyseert netwerkverkeer op verdachte patronen, terwijl Wazuh de host-based detectie verzorgt. De Suricata-logs worden door de Wazuh Agent opgepikt en centraal geanalyseerd. Een sterke combinatie.

nftables firewall

Als je onze nftables hardening gids hebt gevolgd, kun je Wazuh integreren met je bestaande firewall-setup. Het firewall-drop-script in Active Response werkt standaard met iptables, maar je kunt het vrij eenvoudig aanpassen voor nftables:

#!/bin/bash
# /var/ossec/active-response/bin/nftables-drop.sh
# Aangepast Active Response script voor nftables

ACTION=$1
USER=$2
IP=$3

if [ "$ACTION" = "add" ]; then
    nft add element inet firewall blocked_ips "{ $IP }"
elif [ "$ACTION" = "delete" ]; then
    nft delete element inet firewall blocked_ips "{ $IP }"
fi

exit 0

Slack/Teams-notificaties

Wil je alerts direct in je team-chat ontvangen? Configureer Wazuh om meldingen door te sturen via webhooks. Voeg het volgende toe aan /var/ossec/etc/ossec.conf op de server:

<integration>
  <name>slack</name>
  <hook_url>https://hooks.slack.com/services/JOUW/WEBHOOK/URL</hook_url>
  <level>10</level>
  <alert_format>json</alert_format>
</integration>

Best practices voor productieomgevingen

Na de initiële installatie en configuratie zijn er een paar best practices die echt het verschil maken. Het verschil tussen een Wazuh-installatie die "draait" en eentje die daadwerkelijk waarde levert:

  • Begin klein, bouw uit — Start met een beperkt aantal FIM-directories en Active Response-regels. Te veel regels tegelijk genereren een overweldigende hoeveelheid alerts (alert fatigue is een reëel probleem) en kunnen prestatieproblemen veroorzaken.
  • Centraliseer logs — Lokale auditlogs kunnen door een aanvaller met root-toegang worden gemanipuleerd. Door logs centraal op te slaan in de Wazuh Indexer, behoud je een onafhankelijke audit trail.
  • Tune je regels — False positives zijn de vijand van elk IDS. Besteed regelmatig tijd aan het tunen van regels en het toevoegen van uitzonderingen voor legitiem gedrag. Serieus, plan hier tijd voor in.
  • Gebruik agentgroepen — Groepeer agents op basis van rol (webservers, databases, applicatieservers) en pas per groep een specifieke configuratie toe via gecentraliseerde configuratie.
  • Monitor de monitor — Stel alerts in voor wanneer agents offline gaan of de Wazuh Manager zelf problemen ondervindt. Een IDS dat ongemerkt uitvalt is erger dan geen IDS.
  • Houd Wazuh up-to-date — Nieuwe versies bevatten niet alleen features maar ook beveiligingspatches. Versie 4.14.3 bevatte bijvoorbeeld fixes voor buffer overflows in de SCA-decoder en geharde cluster-deserialisatie.

Veelgestelde vragen

Is Wazuh geschikt voor kleine omgevingen met maar een paar servers?

Absoluut. De all-in-one deployment is specifiek ontworpen voor kleine omgevingen met maximaal 100 endpoints. De minimale hardwarevereisten zijn bescheiden: 4 CPU-cores en 8 GB RAM. Zelfs voor een thuislab of een klein bedrijf met 5-10 servers is Wazuh een uitstekende keuze — enterprise-grade beveiliging zonder licentiekosten. Wat wil je nog meer?

Wat is het verschil tussen Wazuh en OSSEC?

Wazuh is in 2015 ontstaan als een fork van OSSEC en heeft sindsdien veel meer functionaliteit gekregen. De belangrijkste verschillen: Wazuh heeft een modern webdashboard (OSSEC niet), ondersteunt grootschalige gedistribueerde deployments, heeft native integratie met OpenSearch/ELK, en wordt actief ontwikkeld (versie 4.14.3, februari 2026). OSSEC staat grotendeels in onderhoudsmodus, met als laatste release versie 3.8.0 uit januari 2021.

Kan Wazuh ook containers en Kubernetes-omgevingen monitoren?

Ja, dat kan. Wazuh agents kunnen worden geïnstalleerd op container-hosts en integreren met Docker en Kubernetes. De agent monitort container-events, detecteert bestandswijzigingen binnen containers en identificeert kwetsbaarheden in container-images. Voor Kubernetes-omgevingen kun je Wazuh combineren met tools als Falco voor runtime container security.

Hoe verhoudt de performance van Wazuh zich ten opzichte van commerciële SIEM-oplossingen?

Wazuh presteert vergelijkbaar met veel commerciële SIEM-oplossingen voor middelgrote omgevingen. Het platform schaalt horizontaal — je voegt gewoon meerdere Wazuh Servers en Indexer-nodes toe om de belasting te verdelen. Voor omgevingen met meer dan 1.000 agents is een gedistribueerde deployment met een multi-node cluster aanbevolen. Het grootste voordeel ten opzichte van commerciële alternatieven? Geen licentiekosten per agent of per GB aan ingested data.

Kan ik Wazuh integreren met mijn bestaande nftables firewall?

Standaard gebruikt het Active Response firewall-drop-script iptables om IP-adressen te blokkeren. Je kunt dit eenvoudig aanpassen voor nftables door een custom script te schrijven dat nft-commando's gebruikt in plaats van iptables. Eerder in deze gids hebben we een voorbeeld nftables-drop.sh-script meegenomen dat je hiervoor kunt gebruiken.

Over de Auteur Editorial Team

Our team of expert writers and editors.

Gerelateerde Artikelen