Wazuh Alert-Split-Routing: Index-Templates korrekt erweitern und Mapping-Konflikte vermeiden

von

Einleitung In komplexeren Wazuh-Deployments ist es üblich, Alerts logisch zu trennen – etwa nach Kunden, Organisationseinheiten oder Sicherheitszonen. Technisch wird dies häufig über Ingest-Pipelines im Wazuh Indexer umgesetzt, die Alerts anhand von Metadaten in unterschiedliche Indizes routen.Ein zentrales, aber oft übersehenes Detail dabei sind die zugrunde liegenden Index-Templates. Werden diese nicht korrekt berücksichtigt, drohen Mapping-Konflikte, … Weiterlesen

Kaspersky Security Center CEF in Wazuh sauber dekodieren: Custom Decoder für vollständige Felder statt „nur 3 Werte“

von

Einleitung CEF (Common Event Format) ist in vielen SIEM-Pipelines der „kleinste gemeinsame Nenner“ für Security-Telemetrie. In der Praxis stolpern Wazuh-Administratoren aber regelmäßig darüber, dass CEF-Events aus Kaspersky Security Center (KSC) nur teilweise geparst werden: Statt Header + Extension-Key/Value-Paare landen nur wenige Felder im Event. Das ist nicht nur lästig, sondern reduziert direkt den Detection- und … Weiterlesen

Citrix ADC Logs werden vom (NetScaler-)Decoder „geschluckt“: Custom Decoder sauber bauen und Default-Matching verhindern

von

In der Praxis landen Citrix ADC (ehem. NetScaler) Syslog-Zeilen oft in einem Format, das stark an klassische ns.log-/Syslog-Ausgaben erinnert (z. B. 0-PPE-0 : TCP CONN_TERMINATE …). Dieses Muster matcht schnell auf generische/Default-Decoder (z. B. netscaler), sodass eigene Felder nicht wie gewünscht extrahiert werden oder „falsch“ interpretiert wirken. Ein typisches Citrix-Beispiel sieht u. a. so aus: … Weiterlesen

CVE-2024-56180 in Wazuh: Warum eine Apache-EventMesh-Schwachstelle als Kernel-Vulnerability auf Ubuntu erscheint

von

Einleitung Vulnerability Detection ist nur dann wirklich hilfreich, wenn Findings korrekt eingeordnet werden können. Gerade bei CVEs mit hohem Schweregrad führt eine falsche oder missverständliche Zuordnung schnell zu Verunsicherung – insbesondere in Audits oder Compliance-Prüfungen. Ein aktuelles Beispiel ist CVE-2024-56180, das in Wazuh auf Ubuntu 24.04 LTS als kritisch gemeldet wird, obwohl das betroffene Produkt … Weiterlesen

Sophos Firewall (SFW) Logs in Wazuh

von

Warum „DoS Attack / Denied“ korrekt decodiert wird – und trotzdem nicht immer sichtbar ist Einleitung Sophos-Firewall-Logs (SFW / XG / XGS) gehören zu den umfangreichsten und komplexesten Firewall-Logs überhaupt.Besonders Felder wie: sorgen häufig für Verwirrung, wenn sie nicht wie erwartet im wazuh-logtest oder Dashboard erscheinen, obwohl Decoder vorhanden sind. Dieser Artikel erklärt: 1. Beispiel: … Weiterlesen

Wazuh RBAC: Fehler bei benutzerdefinierten Dashboards und fehlenden Index-Rechten sauber beheben

von

Einleitung Role-Based Access Control (RBAC) ist in Wazuh essenziell, um Mandantentrennung, Least-Privilege-Prinzip und organisatorische Zuständigkeiten sauber abzubilden. Besonders in Umgebungen mit mehreren Teams oder Kunden wird häufig ein separates Dashboard mit eingeschränkten Rechten benötigt – etwa für das Lesen und Verwalten bestimmter Agent-Gruppen. In der Praxis treten dabei jedoch regelmäßig Fehler auf, die auf unvollständige … Weiterlesen

Wazuh CTI und CVE-Verfügbarkeit: Update-Zyklen, Synchronisation und praktische Erwartungen

von

Einleitung Die Qualität und Aktualität von Vulnerability-Daten ist ein zentraler Erfolgsfaktor für jede SIEM- und Vulnerability-Management-Strategie. In Wazuh übernimmt diese Rolle die Cyber Threat Intelligence (CTI), die CVEs, Schwachstellen-Metadaten und zugehörige Informationen bereitstellt. In der Community taucht regelmäßig die Frage auf, wie aktuell diese Daten tatsächlich sind, wie oft neue CVEs verfügbar werden und warum … Weiterlesen

Wazuh FIM: File-Limit erhöhen bei Millionen von Dateien

von

Saubere Konfiguration, Grenzen und Performance-Auswirkungen Einleitung In großen Umgebungen – etwa auf File-Servern, Storage-Systemen oder Windows Storage Spaces – stößt das File Integrity Monitoring (FIM / Syscheck) von Wazuh schnell an seine Standardgrenzen.Ein typisches Szenario sind 1.000.000+ Dateien, die überwacht werden sollen. Dieser Artikel erklärt: 1. Ausgangssituation aus dem Community-Thread Ziel Überwachung von > 1.000.000 … Weiterlesen

Wazuh-Korrelation für Brute-Force über mehrere Systeme: Warum nicht triggert – und wie du es stabil löst

von

Einleitung Brute-Force- und Password-Spraying-Angriffe laufen selten „sauber“ auf einem einzigen System. In realen SIEM-Szenarien verteilen sich fehlgeschlagene Anmeldungen über verschiedene Hosts, Dienste und Logquellen – oft mit identischem Quell-IP-Adressraum oder identischem Benutzernamen. Wazuh kann solche Muster grundsätzlich über Frequenz-/Zeitfenster-Regeln korrelieren. In der Praxis scheitern entsprechende Custom Rules jedoch häufig daran, dass die Korrelation nicht auf … Weiterlesen

Fehlende wazuh.yml & nicht erreichbares Wazuh Dashboard

von

Ursachenanalyse und saubere Lösung bei Distributed / All-in-One Deployments Einleitung Beim Deployment des Wazuh Dashboards nach offizieller Anleitung kann es zu einer verwirrenden Situation kommen: Dieser Artikel erklärt: 1. Ausgangssituation Setup Beobachtungen 2. Wichtige Hintergrundinfo: Wann wird wazuh.yml erstellt? Die Datei wazuh.yml wird nicht während der Paketinstallation erzeugt. 📌 Sie wird erst automatisch generiert, wenn: … Weiterlesen