TOP 10 zastosowań Wazuha – reagowanie na incydenty

Szkolenie online, na żywo, z dostępem do nagrania na zawsze

Data szkolenia: 15 lipca 2026 roku – do wyboru dwa terminy:

  • I termin: godz. 10:00–11:30

  • II termin: godz. 19:00–20:30

Wykrycie zagrożenia to dopiero początek. Nawet najlepszy alert nie zatrzyma atakującego, jeżeli za jego wygenerowaniem nie pójdzie szybka i adekwatna reakcja.

Wazuh może nie tylko zbierać logi i wykrywać podejrzane zdarzenia. Dzięki mechanizmom Active Response, własnym skryptom oraz integracjom z zewnętrznymi systemami może również automatycznie blokować atakujących, izolować zagrożone urządzenia, zatrzymywać złośliwe procesy i przekazywać incydenty do dalszej obsługi. 

Podczas szkolenia pokażemy dziesięć praktycznych sposobów reakcji na incydenty bezpieczeństwa. Zobaczysz zarówno proste akcje wykonywane na chronionym systemie, jak i bardziej rozbudowane scenariusze automatyzujące pracę zespołu SOC, zwłaszcza w świecie ustawy KSC2.

Bez teorii dla teorii – skupimy się na reakcjach, które można zastosować w rzeczywistym środowisku.

Czego dowiesz się podczas szkolenia?

Zyskasz wiedzę w następującym zakresie:

  • jak wykorzystać mechanizm Active Response do automatycznej reakcji na alerty,

  • jak blokować adresy IP atakujących na określony czas lub bezterminowo,

  • jak automatycznie blokować przejęte albo atakowane konta użytkowników,

  • jak ograniczyć komunikację sieciową zainfekowanego hosta,

  • jak reagować na wykrycie złośliwego pliku i przenosić go do kwarantanny,

  • jak identyfikować i zatrzymywać procesy wykorzystywane przez reverse shell,

  • jak automatycznie restartować usługę po wykryciu awarii albo nieautoryzowanej zmiany,

  • jak wysyłać powiadomienia o incydentach do zespołu SOC,

  • jak automatycznie tworzyć zgłoszenia w systemie serwisowym,

  • jak wzbogacać środowisko o nowe identyfikatory IOC,

  • jak zautomatyzować wstępny triage incydentu,

  • jak ograniczyć ryzyko wykonania nieprawidłowej lub zbyt agresywnej reakcji,

  • jak testować i monitorować skuteczność wykonanych akcji.

Co powinieneś wiedzieć przed szkoleniem?

Aby w pełni skorzystać ze szkolenia, warto mieć:

  • podstawową wiedzę na temat działania systemów Linux lub Windows,

  • ogólne rozeznanie w zakresie logów, alertów i incydentów bezpieczeństwa,

  • podstawową znajomość platformy Wazuh,

  • ogólną wiedzę dotyczącą adresów IP, procesów, usług systemowych i kont użytkowników.

Nie jest wymagana umiejętność programowania. Przykłady skryptów oraz sposób ich działania zostaną wyjaśnione podczas szkolenia.

Do kogo skierowane jest szkolenie?

Szkolenie przeznaczone jest przede wszystkim dla:

  • początkujących administratorów Wazuha,

  • administratorów systemów i sieci,

  • analityków SOC,

  • członków zespołów Blue Team,

  • specjalistów Incident Response i DFIR,

  • administratorów bezpieczeństwa IT,

  • osób wdrażających lub rozwijających system SIEM,

  • osób odpowiedzialnych za automatyzację reakcji na incydenty.

Agenda

Agenda obejmuje dziesięć praktycznych sposobów reakcji na incydenty bezpieczeństwa:

1. Blokowanie adresu IP atakującego

  • Automatyczna reakcja na wykrycie ataku,

  • Blokowanie adresu źródłowego na firewallu hosta,

  • Blokady czasowe i bezterminowe,

  • Obsługa ponownie pojawiających się atakujących,

  • Zabezpieczenie przed przypadkowym zablokowaniem zaufanych adresów.

2. Blokada konta użytkownika

  • Reakcja na ataki brute-force i password spraying,

  • Automatyczna blokada konta lokalnego,

  • Reakcja na podejrzane logowanie,

  • Różnice pomiędzy blokadą konta w systemie Linux, Windows i środowisku domenowym,

  • Bezpieczne warunki uruchamiania automatycznej blokady.

3. Izolacja hosta

  • Ograniczenie komunikacji sieciowej przejętego urządzenia,

  • Wykorzystanie lokalnych reguł firewalla,

  • Pozostawienie komunikacji niezbędnej do dalszej analizy,

  • Izolacja realizowana przy użyciu Active Response i zewnętrznych integracji,

  • Procedura przywracania hosta do normalnej pracy.

4. Kwarantanna złośliwego oprogramowania

  • Reakcja na wykrycie podejrzanego pliku,

  • Wykorzystanie danych z File Integrity Monitoring, YARA i systemów antywirusowych,

  • Przeniesienie pliku do bezpiecznej lokalizacji,

  • Zabezpieczenie materiału do dalszej analizy,

  • Usunięcie lub neutralizacja zagrożenia.

5. Ubijanie procesów reverse shell

  • Wykrywanie podejrzanych procesów i połączeń,

  • Identyfikacja procesu odpowiedzialnego za reverse shell,

  • Bezpieczne zatrzymanie procesu,

  • Zebranie informacji przed reakcją na incydent,

  • Ochrona przed automatycznym zatrzymaniem legalnej aplikacji.

6. Restartowanie usługi

  • Wykrywanie zatrzymania lub nieprawidłowego działania usługi,

  • Automatyczne przywrócenie usługi,

  • Reakcja na nieautoryzowaną zmianę konfiguracji,

  • Weryfikacja skuteczności restartu,

  • Eskalacja incydentu w przypadku kolejnej awarii.

7. Powiadomienia dla zespołu SOC

  • Dobór alertów wymagających natychmiastowej eskalacji,

  • Przesyłanie najważniejszych informacji o incydencie,

  • Powiadomienia e-mail, komunikatory i webhooki,

  • Ograniczanie szumu informacyjnego,

  • Przekazywanie kontekstu potrzebnego analitykowi.

8. Utworzenie zgłoszenia serwisowego

  • Automatyczne utworzenie zgłoszenia na podstawie alertu,

  • Przekazanie identyfikatora hosta, użytkownika i reguły Wazuha,

  • Dodanie fragmentów logów oraz informacji o podjętej reakcji,

  • Ustawienie priorytetu zgłoszenia,

  • Aktualizacja statusu incydentu.

9. Dodanie identyfikatorów IOC

  • Pozyskiwanie IOC z przeanalizowanych incydentów,

  • Dodawanie adresów IP, domen, skrótów plików i innych wskaźników,

  • Wykorzystanie list CDB oraz zewnętrznych źródeł Threat Intelligence,

  • Automatyczne wykrywanie IOC na pozostałych hostach,

  • Zarządzanie okresem ważności identyfikatorów.

10. Automatyczny triage incydentu

  • Zebranie informacji o hoście, użytkowniku i aktywnych procesach,

  • Sprawdzenie wcześniejszych alertów dotyczących tego samego zasobu,

  • Korelacja zdarzenia z posiadanymi IOC,

  • Automatyczne wzbogacenie incydentu o dodatkowy kontekst,

  • Przygotowanie wstępnego podsumowania dla analityka SOC,

  • Wybór dalszej ścieżki reakcji i eskalacji.

Oprócz tego w ramach szkolenia przewidziana jest sesja Q&A.

Co zawiera cena szkolenia?

W cenie szkolenia otrzymujesz:

  • dostęp do szkolenia online na żywo,

  • dostęp do nagrania ze szkolenia na zawsze,

  • możliwość zadawania pytań podczas sesji Q&A,

  • materiały i przykłady omawiane podczas szkolenia,

  • certyfikat ukończenia szkolenia w języku polskim i angielskim, zawierający punkty CPE – dla osób, które wybiorą bilet z certyfikatem.

Przydatne informacje

  • Szkolenie prowadzone jest w formie online, na żywo.

  • Czas trwania szkolenia wynosi około 90 minut.

  • Szkolenie odbędzie się 15 lipca 2026 roku.

  • Dostępne są dwie sesje: o godz. 10:00 oraz o godz. 19:00.

  • Obie sesje obejmują ten sam zakres materiału.

  • Do uczestnictwa wymagany jest komputer z dostępem do Internetu.

  • Nie jest wymagane instalowanie dodatkowego oprogramowania.

  • Uczestnicy otrzymają dostęp do nagrania ze szkolenia na zawsze.

O prowadzącym

Tomasz Turba

Konsultant do spraw bezpieczeństwa w firmie Securitum oraz jeden z niewielu oficjalnych Ambasadorów Wazuha w Polsce. W branży IT działa od 2006 roku, przeszedł przez wszystkie szczeble kariery. Autor kilkunastu innowacyjnych szkoleń o tematyce cyberbezpieczeństwa oraz wielokrotny laureat nagród za swoje publikacje. Współpracował z licznymi instytucjami jako konsultant do spraw zabezpieczeń, pentester i inspektor RODO. Ma duże doświadczenie jako szef zespołu SOC. Prelegent na wielu konferencjach związanych z ITsec, jak CONFIdence, WDI, Infoshare, ale przede wszystkim na Mega Sekurak Hacking Party i Sekurak Cyberstarter. Redaktor portalu sekurak.pl oraz współautor takich publikacji branżowych, jak Wprowadzenie do bezpieczeństwa IT (t. 1 i 2), a także współredaktor merytoryczny publikacji wydawanych przez Securitum Wydawnictwo. Aktywny trener, a zarazem organizator Sekurak.Academy oraz projektu SOS. Posiada certyfikaty branżowe takich instytucji, jak: EC-Council, Cisco Systems, Red Hat, AWS, Microsoft, NSA, CompTIA, TUV. Od 2025 roku oficjalny Ambasador Wazuh Inc. na Polskę.

Prowadzący: Tomasz Turba

Bilet dla jednej osoby

Za darmo lub minimum 20,00 zł brutto
Płać ile chcesz!

Bilet z certyfikatem

39,00 zł netto + 23% VAT
47,97 zł brutto
Wystąpił nieoczekiwany błąd. Przeładuj 🗙