Wazuh Rule-Priorität richtig verstehen: Warum „Catch-all“-Regeln gewinnen und wie man Audit-Defaults ohne Alert-Flut baut

von

Einleitung Beim Bau eigener Wazuh-Rulesets entsteht schnell der Wunsch nach einer „Auffangregel“: Alles, was nicht spezifisch gematcht wird, soll trotzdem klassifiziert, geloggt und später analysierbar sein. Genau hier stolpern viele – weil Wazuh Regeln nicht nach Rule-ID priorisiert, sondern nach Evaluierungslogik (insbesondere Severity/Level, Rule-Chain und Matching). Das Ergebnis: Eine Catch-all-Regel feuert immer, während die eigentlich … Weiterlesen

pfSense WebGUI- und Konfigurations-Events in Wazuh zuverlässig erkennen: Decoder-Design, Rule-Chain und typische Stolperfallen

von

Einleitung pfSense ist in vielen Umgebungen nicht nur ein Firewall-Gateway, sondern auch ein zentraler Audit-Punkt: WebGUI-Logins, Konfigurationsänderungen und das Anwenden von Filter-Regeln sind sicherheitsrelevant und gehören in ein SIEM. Wazuh eignet sich dafür hervorragend – allerdings stehen viele Integrationen und “funktioniert nur teilweise”-Symptome nicht im Zeichen falscher Regex, sondern in der falschen Kopplung zwischen Decoder-Ausgabe … Weiterlesen

Wazuh 4.7 → 4.14: Warum SMTP-Multiline-Logs „zerfallen“ und Decoder nur noch die erste Zeile sehen

von

Einleitung Beim Upgrade von Wazuh-Versionen fallen Decoder-Probleme oft erst im laufenden Betrieb auf: Regeln triggern nicht mehr, Felder bleiben leer oder es wird nur noch ein Bruchteil des erwarteten Events extrahiert. Ein besonders häufiger Auslöser ist nicht der Decoder selbst, sondern die Art, wie Wazuh Logzeilen zu Events gruppiert. Multiline-Formate (z. B. SMTP-Session-Traces) sind dafür … Weiterlesen

Wazuh Agent-Status nach Server-Upgrade: Ursachen, Upgrade-Strategien und Automatisierung

von

Einleitung Upgrades der zentralen Wazuh-Komponenten (Manager, Indexer, Dashboard) gehören zum regulären Betrieb einer SIEM-Plattform. In der Praxis führt ein Versionssprung jedoch häufig zu Verunsicherung, wenn Agents nach dem Upgrade plötzlich als Pending erscheinen, nicht mehr Active sind oder ganz aus dem Dashboard verschwinden. Dieser Artikel fasst eine umfangreiche Community-Diskussion zusammen und zeigt, wie Agent-Status nach … Weiterlesen

Wazuh Custom Decoder für Huawei-Storage-Syslog: Erfolgreiche Logins korrekt parsen

von

Einleitung Die Integration von Storage-Systemen in ein zentrales SIEM ist ein zentraler Baustein für belastbares Security-Monitoring. Gerade proprietäre Syslog-Formate, wie sie bei Enterprise-Storage-Systemen üblich sind, erfordern in Wazuh häufig eigene Decoder und Regeln. Dieser Artikel basiert auf einer realen Community-Diskussion aus dem Wazuh-Umfeld und zeigt praxisnah, wie Huawei-OceanStor-Logs korrekt dekodiert und in verwertbare Security-Alerts überführt … Weiterlesen

Private IP-Adressen in Wazuh-Regeln korrekt ausfiltern: Warum kein Regex kann und CDB-Listen die saubere Lösung sind

von

Einleitung In vielen Security-Use-Cases ist nicht jede erkannte Aktivität gleich relevant. Besonders bei Webangriffen, Authentifizierungsereignissen oder IDS-Alerts ist es oft sinnvoll, interne (private) Quell-IP-Adressen auszuschließen und den Fokus auf öffentliche, potenziell externe Angreifer zu legen. In Wazuh scheint dies auf den ersten Blick trivial – etwa durch einen Regex im <srcip>-Feld. In der Praxis führt … Weiterlesen

Syslog-Daten zuverlässig in Wazuh integrieren: Formate, Architektur und Best Practices

von

Einleitung Viele Anwendungen und Appliances können Logs ausschließlich per Syslog oder HTTP ausliefern. In Wazuh-Umgebungen stellt sich daher regelmäßig die Frage, wie solche Daten zuverlässig, strukturiert und regelbasiert ausgewertet werden können. Obwohl Wazuh einen nativen Syslog-Empfang bietet, zeigen Community-Diskussionen und Best Practices, dass der Weg über dateibasierte Logsammlung häufig stabiler und flexibler ist. Dieser Artikel … Weiterlesen

Wazuh IT Hygiene im Dashboard leer – „No results match your search criteria“

von

Einleitung Die IT Hygiene-Sektion im Wazuh Dashboard bietet eine zentrale Übersicht über Inventarisierungs- und Konfigurationsdaten (z. B. OS-Details, installierte Software, Prozesse, Netzwerk) aus allen überwachten Endpunkten. Diese Daten werden von den Syscollector-Modulen der Agenten gesammelt, in der Wazuh Indexer-Datenbank aggregiert und im Dashboard visualisiert. Wazuh Dokumentation Wenn in dieser Sektion jedoch nur „No results match … Weiterlesen

Wazuh 4.14: Warum deine local_rules.xml „nicht lädt“ – Sysmon Event ID 3 korrekt matchen, data.*-Feldfallen vermeiden und EventChannel-Logs richtig mit wazuh-logtest testen

von

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Windows Sysmon Event ID 3 („Network connection“) ist eine der wichtigsten Telemetriequellen für Threat Hunting, IOC-Matching und Threat-Intel-Enrichment (z. B. via OpenCTI). In Wazuh wirkt das auf den ersten Blick trivial: „Ich schreibe eine Rule auf EventID 3, dann bekomme ich Alerts.“ In der Praxis scheitert es aber häufig an … Weiterlesen

Wazuh Regelpriorität richtig steuern: Warum eine Catch-all-Regel „gewinnt“ – und wie du Mikrotik-Firewallregeln ohne Alert-Flut sauber kaskadierst

von

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Beim Bau eigener Wazuh-Regeln kommt es oft zu einem Missverständnis, das in SIEM-Setups schnell zu falschen Alarmen oder – schlimmer – zu verdeckten Erkennungsregeln führt: Rule-IDs steuern keine Priorität. Entscheidend sind die Matching-Logik, die Regelhierarchie und die Severity/Level-Semantik in Kombination mit der Alert-Schwelle des Managers. Dieser Beitrag zeigt anhand eines … Weiterlesen