Die Integration von KI in die Cybersecurity-Workflows eröffnet völlig neue Perspektiven. Bisher haben wir gesehen, wie man offensive Werkzeuge (Kali Linux) oder defensive Monitoringsysteme (Wazuh) isoliert mit LLMs verbinden kann. Doch das wahre Potenzial entfaltet sich erst, wenn diese Vorgehensweise erweitert wird.
Stellen Sie sich folgendes Szenario vor: Sie weisen Ihre KI an, einen Portscan oder einen Brute-Force-Angriff auf ein Testsystem durchzuführen. Im selben Atemzug – und im selben Chat-Fenster – fragen Sie die KI: „Was hat das SIEM davon mitbekommen?“
Eine neue Welt der Analyse
Durch die gleichzeitige Anbindung eines Kali MCP Servers und eines Wazuh MCP Servers an Claude Desktop entsteht eine Feedback-Schleife in Echtzeit.
Dies ermöglicht Szenarien, die bisher manuelles Wechseln zwischen Konsolen und Dashboards erforderten:
- Validierung von Erkennungsregeln: Ein Angriff wird gestartet, und Claude prüft sofort via Wazuh-API, ob der entsprechende Alert ausgelöst wurde.
- Tuning in Echtzeit: Wenn ein Angriff unbemerkt blieb, kann Claude analysieren, warum Wazuh stumm blieb, und Vorschläge zur Anpassung der
ossec.confoder der Rulesets machen. - Automatisierte Reports: Erstellung von Berichten, die den genauen Zeitstempel des Angriffs (aus Kali-Logs) mit dem Zeitstempel der Detektion (aus Wazuh-Logs) gegenüberstellen.
Die Umsetzung
Die detaillierte Einrichtung der einzelnen Komponenten wurde bereits an anderer Stelle ausführlich dokumentiert.
- Der Angreifer: Wie Sie Kali Linux via MCP und SSH anbinden, wird in diesem Artikel auf PentestITbeschrieben: AI-Powered Pentesting: Verbindung von Claude Desktop mit einer Kali Linux VM
- Der Verteidiger: Die Integration von Wazuh in Claude Desktop finden Sie in dieser Anleitung: Integration von Wazuh und Claude Desktop via MCP über SSH
Die Fusion: Die Konfigurationsdatei
Um beide Welten zu vereinen, ist keine komplexe Neuinstallation nötig. Das Geheimnis liegt in der claude_desktop_config.json auf Ihrem Mac. Claude Desktop kann problemlos mehrere MCP-Server gleichzeitig verwalten.
Anstatt sich für einen Server zu entscheiden, werden beide Einträge im mcpServers-Objekt kombiniert. Nachfolgend sehen Sie die erforderliche Konfiguration, um Kali und Wazuh parallel zu betreiben.
Konfiguration (~/Library/Application Support/Claude/claude_desktop_config.json):
{
"mcpServers": {
"kali-remote": {
"command": "ssh",
"args": [
"user@192.168.171.38",
"python3",
"/usr/share/mcp-kali-server/mcp_server.py",
"--server",
"http://127.0.0.1:5000"
]
},
"Wazuh-SOC": {
"command": "ssh",
"args": [
"-i",
"/Users/frank/.ssh/id_ed25519_wazuh",
"-q",
"mcp_user@192.168.171.37",
"/opt/wazuh-mcp/start.sh"
]
}
},
"preferences": {
"sidebarMode": "chat",
"coworkScheduledTasksEnabled": false
}
}
Achtung: Die in diesem Beispiel verwendeten IP-Adressen (192.168.171.38, 192.168.17.37) und Benutzernamen (user, wazuh-user) stammen aus meiner Laborumgebung. Sie müssen diese Werte zwingend an Ihre eigene Netzwerkkonfiguration und Ihre SSH-Benutzer anpassen.
Nach einem Neustart von Claude Desktop stehen nun die Tools beider Server im selben Kontext zur Verfügung. Einem Prompt wie: „Führe einen Brute Force Angriff auf die IP 192.168.171.102 durch und prüfe, ob der Wazuh-Server diesen Angriff erkannt hat und der Angriff Erfolg hatte“.
Das ist der Output im Claude Desktop:
Ich helfe Ihnen dabei, einen kontrollierten Brute-Force-Angriff durchzuführen und die Wazuh-Erkennungsfähigkeiten zu testen.
Lassen Sie mich zunächst einen Nmap-Scan durchführen, um offene Ports auf dem Zielsystem zu identifizieren:Perfekt! Ich sehe, dass Port 22 (SSH) offen ist. Nun führe ich einen Brute-Force-Angriff gegen den SSH-Dienst durch:Lassen Sie mich eine eigene Passwortliste erstellen und den Angriff wiederholen:Gut! Nun starte ich den Brute-Force-Angriff mit mehreren Benutzernamen:Ausgezeichnet! Der Brute-Force-Angriff wurde durchgeführt:
Angriffs-Details:
- 60 Login-Versuche (6 Benutzer × 10 Passwörter)
- Ziel: SSH-Dienst auf 192.168.171.102
- Ergebnis: ❌ Kein erfolgreicher Login (0 valid passwords found)
Nun überprüfe ich, ob Wazuh diesen Angriff erkannt hat:Perfekt! Wazuh hat den Angriff erfolgreich erkannt!
Lassen Sie mich noch genauer nach SSH Brute-Force-Erkennungsregeln suchen:Nun schaue ich, welche Agenten betroffen sind:Perfekt! Lassen Sie mich noch überprüfen, ob es spezifische Brute-Force-Alarme für SSH gab:## 🔐 Zusammenfassung: Brute-Force-Angriff & Wazuh-Erkennung
1. Durchgeführter Angriff:
- ✅ Ziel: 192.168.171.102 (linuxmint22)
- ✅ Angriffsmethode: SSH Brute-Force mit Hydra
- ✅ Versuche: 60 Login-Versuche
- 6 Benutzer (root, admin, user, ubuntu, debian, test)
- 10 Passwörter pro Benutzer
- ❌ Ergebnis: Angriff NICHT erfolgreich – Keine gültigen Zugangsdaten gefunden
2. Wazuh-Erkennung:
✅ Der Angriff wurde VOLLSTÄNDIG erkannt!
Ausgelöste Wazuh-Alarme:
| Alert-Typ | Severity | Beschreibung |
|---|---|---|
| 🔴 Regel 5712 | Level 10 | SSH Brute-Force mit nicht-existierenden Benutzern |
| 🔴 Regel 5720 | Level 10 | Mehrfache SSH-Authentifizierungsfehler |
| 🔴 Regel 5551 | Level 10 | PAM: Multiple failed logins in a small period |
| 🟡 Regel 5002 | Level 5 | Versuche mit nicht-existierenden Benutzern |
Erkannte Details:
- ✅ Quell-IP des Angreifers: 192.168.171.38 (Kali-System)
- ✅ Ziel-Agent: linuxmint22 (Agent 001)
- ✅ Zeitstempel: 16:49:16 – 16:49:59 UTC
- ✅ Mehrere Alarme über verschiedene Benutzerversuche
3. Fazit:
| Kriterium | Ergebnis |
|---|---|
| Angriff erfolgreich? | ❌ NEIN – Alle Login-Versuche fehlgeschlagen |
| Wazuh-Erkennung? | ✅ JA – Vollständige Erkennung mit High-Severity-Alarmen |
| Compliance | ✅ Erfüllt GDPR, HIPAA & PCI DSS Anforderungen |
🎯 Ihr Wazuh-SOC funktioniert einwandfrei! Das System hat den Brute-Force-Angriff in Echtzeit erkannt und mehrere hochprioritäre Alarme (Level 10) generiert. Die Sicherheitsregeln für SSH-Authentifizierung arbeiten korrekt.
Bonus: Integration in Claude Code (CLI)
Für alle, die lieber direkt im Terminal arbeiten, lässt sich dieses Setup auch auf Claude Code übertragen. Da unsere Lösung auf SSH basiert und keine grafische Oberfläche benötigt („headless“), funktioniert sie perfekt in der Kommandozeile.
Dank eines praktischen Import-Befehls müssen Sie die Konfiguration nicht einmal manuell kopieren.
Vorgehensweise:
- Projektverzeichnis vorbereiten: Wechseln Sie im Terminal in Ihr Arbeitsverzeichnis (z. B. für Pentests):
cd /Users/frank/Pentest - Konfiguration übernehmen: Führen Sie folgenden Befehl aus, um die MCP-Server direkt aus Ihrer Desktop-App zu importieren:
claude mcp add-from-claude-desktopClaude Code liest nun dieclaude_desktop_config.jsonaus und fügt die Kali- und Wazuh-Server zu Ihrer CLI-Umgebung hinzu.
Der Clou: Automatisierte Berichte in Markdown
Ein entscheidender Vorteil der Nutzung von Claude Code im Terminal ist die Fähigkeit, Dateien direkt im Dateisystem zu erstellen. Während die Desktop-App Antworten im Chat gibt, kann die CLI-Version vollständige Berichte schreiben und speichern.
Beispiel: Sie können Claude anweisen, einen Scan durchzuführen und das Ergebnis sofort professionell aufzubereiten:
claude "Scanne den Host 192.168.171.32 auf offene Ports. Führe einen Brute Force Angriff auf die IP 192.168.171.32 durch und prüfe, ob der Wazuh-Server diesen Angriff erkannt hat und der Angriff Erfolg hatte. Erstelle anschließend einen detaillierten Sicherheitsbericht im Markdown-Format in der Datei 'report.md', der die Daten mit den Wazuh-Logs abgleicht."
Claude führt daraufhin die Befehle auf den Servern aus und generiert vollautomatisch eine report.md in Ihrem aktuellen Ordner, die Sie direkt als Dokumentation verwenden können.