Eine Einführung in n8n
Liest sich ganz ordentlich, ohne Fokus auf Wazuh, aber man kommt gut ins Thema: https://medium.com/@aksh8t/build-n8n-ai-agents-in-minutes-sell-for-thousands-of-dollars-f7d23b60da00
Wazuh Alerts via PowerAutomate an Teams schicken
Da Microsoft die alten Webhooks deaktiviert, hier eine Anleitung wie man die Alerts mit PowerAutomate einrichtet: https://www.cylenth.blog/posts/wazuh-microsoft-teams-integration-workflows
Keine neuen Alerts nach Upgrade von Ubuntu 20.04 auf 24.04
Bei einem geplanten Upgrade von Ubuntu 20.04 auf 24.04 haben wir erst die VM mit Snapshot bestückt und dann den ganz normalen Weg wie er überall beschrieben ist gewählt: Geänderte Defaults nicht überschreiben lassen und Dienste neu starten lassen, kein großes Ding. Bei 22.04 kurz geprüft ob alle Dienste laufen und neue Logs in der … Weiterlesen
Neuer Artikel in der Dashboard-Serie
Es gibt wieder einen neuen Artikel in der Dashboard Serie: Dashboard anhand eines Searchstrings bauen – Teil3
Wazuh Update auf 4.12 kann in Amazon Linux zu Problemen führen
Bei einem unserer Kunden die rein in AWS arbeiten, haben wir das neueste Update von Wazuh 4.12 eingespielt, nachdem alle unsere internen Tests (basierend auf Ubuntu) erfolgreich verlaufen sind. Da die AMI auf Amazon Linux2 (CentOS) basiert, lief hier das Update via … nicht ganz so rund. Erst eine Warnung dass Wazuh-Indexer nicht läuft und … Weiterlesen
Mit Wazuh Benutzeränderungen filtern, ohne Computerkonten
Ein weiterer Artikel in der Dashboard-Serie die Benutzeränderungen anhand der win_group_changed Gruppe erkennt und gleichzeitig Computerkonten ausfiltert. Wie du mit dem Wazuh-Dashboard zuverlässig Computerkonten und irrelevante SIDs ausblendest
Wazuh Export-Limit im Discover-Tab erweitern
Im Slack gibt es gerade eine interessante Diskussion, wie man das Limit von Reports erweitern kann. Dazu muss die constants.js manuell angepasst werden. Sie liegt hier: Suchen nach Und entsprechend auf eigenes Risiko erweitern: Im Anschluss das Dashboard neu starten
Bestimmte Logs aus dem Wazuh-Index löschen
Gehen wir davon aus, dass nur eine begrenzte Menge an Festplattenspeicher für Wazuh zur Verfügung steht. Um nicht blind alle Index älter als X Tage löschen zu müssen, können wir auf die Index einzeln nach unwichtigeren Meldungen durchgehen und nur diese entfernen (auf eigenes Risiko!). Wollt ihr zum Beispiel die simplen Windows Logoff Meldungen raus … Weiterlesen
Neue Anleitung um Defender Anomalien zu erkennen
…. findet ihr hier Windows Defender Anomalien erkennen
MISP Feeds automatisieren
In unserem letzten Beitrag MISP Updates und Notes haben wir gelernt, dass das cachen von Feeds allein für die Abfrage in Wazuh nicht reicht. Um die Feeds auch für die Integration in Wazuh durchsuchbar zu machen, müssen diese komplett gefetched werden. Automatisieren lässt sich das ganz einfach per Cronjob mit dem Kommando: Die Nummer 2 … Weiterlesen