Alles rund ums Thema Wazuh
Bei einem unserer Kunden die rein in AWS arbeiten, haben wir das neueste Update von Wazuh 4.12 eingespielt, nachdem alle unsere internen Tests (basierend auf Ubuntu) erfolgreich verlaufen sind. Da die AMI auf Amazon Linux2 (CentOS) basiert, lief hier das Update via … nicht ganz so rund. Erst eine Warnung dass Wazuh-Indexer nicht läuft und … Weiterlesen
Ein weiterer Artikel in der Dashboard-Serie die Benutzeränderungen anhand der win_group_changed Gruppe erkennt und gleichzeitig Computerkonten ausfiltert. Wie du mit dem Wazuh-Dashboard zuverlässig Computerkonten und irrelevante SIDs ausblendest
Im Slack gibt es gerade eine interessante Diskussion, wie man das Limit von Reports erweitern kann. Dazu muss die constants.js manuell angepasst werden. Sie liegt hier: Suchen nach Und entsprechend auf eigenes Risiko erweitern: Im Anschluss das Dashboard neu starten
Gehen wir davon aus, dass nur eine begrenzte Menge an Festplattenspeicher für Wazuh zur Verfügung steht. Um nicht blind alle Index älter als X Tage löschen zu müssen, können wir auf die Index einzeln nach unwichtigeren Meldungen durchgehen und nur diese entfernen (auf eigenes Risiko!). Wollt ihr zum Beispiel die simplen Windows Logoff Meldungen raus … Weiterlesen
…. findet ihr hier Windows Defender Anomalien erkennen
In unserem letzten Beitrag MISP Updates und Notes haben wir gelernt, dass das cachen von Feeds allein für die Abfrage in Wazuh nicht reicht. Um die Feeds auch für die Integration in Wazuh durchsuchbar zu machen, müssen diese komplett gefetched werden. Automatisieren lässt sich das ganz einfach per Cronjob mit dem Kommando: Die Nummer 2 … Weiterlesen
Habe heute MISP von 2.5.7 auf 2.5.8 hochgezogen, so wie ich es schon in Update von MISP im 2.4 branch beschrieben habe. Die gecachten Feeds nur im Feedcache zu aktualisieren bringt für die Abfrage in Wazuh nichts. Man muss die kompletten Feed-Daten über den Button Fetch and store all feed data laden. Über Home -> … Weiterlesen
Heute wollen wir anhand eines Searchstrings – oder use-case – ein eigenes Dashboard bauen. Dazu gehen wir im Hauptmenü auf Threat Hunting und in Events fügen wir den Filter rule.id is 60204 hinzu. Das speichern wir indem wir links neben dem Suchfeld auf die Diskette klicken. Wir man sieht finden wir damit gehäufte falsche Windowsanmeldungen … Weiterlesen
Den geringsten Aufwand bei der Installation von MISP 2.5 hat man mit Ubuntu 24.04 LTS. Es gibt zwar einige Anleitungen die auch mit 22.04 funktionieren wie hier: https://medium.com/@boristheblade1/installing-misp-2-5-and-basic-api-usage-ccfbee4177a9 Wer es aber nicht ganz so frickelig mag, macht das straight-forward mit Ubuntu 24.04. Ich habe dazu eine kleine VM bei Hetzner erstellt und mit dem Image … Weiterlesen
Beim Einrichten von Wazuh und MISP kann es am Anfang schon mal zu Schwierigkeiten kommen, da das Integrationsscript nicht wirklich gesprächig ist. Um hier etwas mehr Sichtbarkeit in MISP zu bekommen, lohnt es sich das auth debug zu aktivieren: Ganz einfach über Administration, Server Settings & Maintenance, MISP zu finden. Danach erscheinen die Abfragen über … Weiterlesen