Warum in Wazuh nicht alle AWS-CloudTrail-Events erscheinen

von

Einleitung Bei der Integration von AWS CloudTrail in Wazuh erwarten viele Administratoren, dass jedes CloudTrail-Ereignis automatisch als Alert im Wazuh Dashboard erscheint. In der Praxis ist das nicht immer der Fall. Wazuh verarbeitet CloudTrail-Logs zwar aus S3, aber die Standardregeln entscheiden, welche Events tatsächlich als Alerts erzeugt und indexiert werden. Ausgangslage / Problemstellung Nach der … Weiterlesen

Große JSON-Scanergebnisse in Wazuh ingestieren: Warum NDJSON besser ist als ein verschachteltes Gesamtobjekt

von

Einleitung Scan-Tools erzeugen häufig umfangreiche JSON-Dateien mit Metadaten, Assets, Findings, DNS-Daten, HTTP-Ergebnissen oder Geolocation-Informationen. Für Wazuh ist dabei nicht nur entscheidend, ob die Daten syntaktisch korrektes JSON sind, sondern auch, wie sie strukturiert sind. Ein einzelnes großes JSON-Objekt mit verschachtelten Arrays ist für die Logverarbeitung deutlich schlechter geeignet als einzelne, zeilenbasierte Events. Ausgangslage / Problemstellung … Weiterlesen

False Positives bei Sysmon Event ID 11 in Wazuh gezielt unterdrücken: PowerShell PSScriptPolicyTest sauber behandeln

von

Einleitung Sysmon-basierte Detection Rules in Wazuh liefern wertvolle Telemetrie für sicherheitsrelevante Dateioperationen. Gleichzeitig erzeugen sie in der Praxis häufig False Positives, insbesondere bei legitimen Betriebssystemmechanismen. Ein klassisches Beispiel ist PowerShells Execution Policy Test, bei dem temporäre Dateien im Benutzer-Temp-Verzeichnis erstellt werden. Ohne gezielte Filterung führen diese Events zu unnötigem Alert-Noise auf hohem Severity-Level. Ausgangslage / … Weiterlesen

JSON-Felder in Wazuh ignorieren oder normalisieren: Konflikte im Index sauber lösen

von

Einleitung In modernen SIEM-Umgebungen ist die Verarbeitung strukturierter Logs essenziell. Wazuh setzt dabei stark auf JSON-basierte Events, die über Decoder, Filebeat und den Wazuh Indexer verarbeitet werden. Ein häufiges Problem tritt auf, wenn sich die Datenstruktur eines Feldes ändert – etwa wenn ein Feld einmal als String und ein anderes Mal als Objekt geliefert wird. … Weiterlesen

Wazuh-Agent meldet „agent buffer is full at 90%“: Ursachenanalyse und saubere Entlastung

von

Einleitung Die Meldung agent buffer is full at 90% ist ein wichtiger Hinweis auf Event-Stau zwischen Wazuh Agent und Wazuh Manager. Für SIEM- und Security-Teams ist das relevant, weil ein dauerhaft gefüllter Agent-Buffer nicht nur Rauschen signalisiert, sondern im weiteren Verlauf zu verworfenen Events und damit zu Sichtbarkeitsverlust führen kann. Ausgangslage / Problemstellung Ein einzelner … Weiterlesen

Wazuh E-Mail-Benachrichtigungen richtig verstehen: Warum email_alert_level granulare Regeln übersteuert

von

Einleitung Die E-Mail-Benachrichtigung in Wazuh wirkt auf den ersten Blick einfach: globale SMTP-Einstellungen definieren, Alert-Level festlegen und bei Bedarf mit <email_alerts> gezielt einzelne Regeln oder Gruppen auswählen. In der Praxis führt genau diese Kombination jedoch regelmäßig zu Missverständnissen. Besonders häufig ist die Annahme, dass ein <email_alerts>-Block mit einer bestimmten rule_id auch dann eine E-Mail auslösen … Weiterlesen

Wazuh Rule 533 optimieren: Port-Änderungen verständlich darstellen statt vollständiger Netstat-Dumps

von

Einleitung Die Überwachung offener Ports gehört zu den klassischen Sicherheitsmaßnahmen in Wazuh. Mit der integrierten Regel 533 („Listened ports status changed – netstat“) erkennt Wazuh zuverlässig Änderungen im Listening-Port-Status eines Systems. In der Praxis zeigt sich jedoch schnell ein Problem: Die Alerts enthalten komplette Snapshots der vorherigen und aktuellen Netstat-Ausgaben. Gerade auf Systemen mit vielen … Weiterlesen

Wazuh-Archive-Events an eine separate OpenSearch-Instanz auslagern: Architektur, Grenzen und saubere Umsetzungswege

von

Einleitung In vielen Wazuh-Umgebungen ist die Standardarchitektur ausreichend: Alerts und bei Bedarf auch Archive-Events werden vom Wazuh-Server über Filebeat in den Wazuh Indexer geschrieben. In regulierten Umgebungen reicht dieses Modell jedoch oft nicht aus. Sobald Roh- oder Archivdaten aus Compliance-, Audit- oder Aufbewahrungsgründen getrennt gespeichert werden müssen, stellt sich die Frage nach einer belastbaren Trennung … Weiterlesen

Wazuh FIM File-Limit erreicht: Ursachen, Auswirkungen und nachhaltige Lösungsstrategien

von

Einleitung Die File Integrity Monitoring (FIM)-Komponente von Wazuh, implementiert über syscheck, ist ein zentraler Bestandteil zur Erkennung von Dateiänderungen, Manipulationen und potenziellen Sicherheitsvorfällen. In größeren Umgebungen oder bei ungünstiger Konfiguration stößt diese Komponente jedoch schnell an systemseitige Grenzen. Eine häufige Meldung lautet: The maximum limit of files monitored has been reached. At this moment there … Weiterlesen

Netgear-Syslog in Wazuh sichtbar machen: Warum Logs ankommen, aber keine Alerts entstehen

von

Einleitung In Wazuh ist der reine Eingang eines Syslog-Streams noch kein Beleg dafür, dass die Daten auch inhaltlich ausgewertet werden. Gerade bei Netzwerkgeräten wie Netgear-Switches zeigt sich häufig ein typisches Muster: Die Logs landen per rsyslog in einer Datei, der Wazuh-Agent liest diese Datei korrekt ein, im Dashboard tauchen aber keine verwertbaren Events oder Alerts … Weiterlesen