Wazuh-Blog

Einleitung Upgrades der zentralen Wazuh-Komponenten (Manager, Indexer, Dashboard) gehören zum regulären Betrieb einer SIEM-Plattform. In der Praxis führt ein Versionssprung jedoch häufig zu Verunsicherung, wenn Agents nach dem Upgrade plötzlich als Pending erscheinen, nicht mehr Active sind oder ganz aus dem Dashboard verschwinden. Dieser Artikel fasst eine umfangreiche Community-Diskussion zusammen und zeigt, wie Agent-Status nach … Weiterlesen

Einleitung In vielen Security-Use-Cases ist nicht jede erkannte Aktivität gleich relevant. Besonders bei Webangriffen, Authentifizierungsereignissen oder IDS-Alerts ist es oft sinnvoll, interne (private) Quell-IP-Adressen auszuschließen und den Fokus auf öffentliche, potenziell externe Angreifer zu legen. In Wazuh scheint dies auf den ersten Blick trivial – etwa durch einen Regex im <srcip>-Feld. In der Praxis führt … Weiterlesen

Einleitung Viele Anwendungen und Appliances können Logs ausschließlich per Syslog oder HTTP ausliefern. In Wazuh-Umgebungen stellt sich daher regelmäßig die Frage, wie solche Daten zuverlässig, strukturiert und regelbasiert ausgewertet werden können. Obwohl Wazuh einen nativen Syslog-Empfang bietet, zeigen Community-Diskussionen und Best Practices, dass der Weg über dateibasierte Logsammlung häufig stabiler und flexibler ist. Dieser Artikel … Weiterlesen

Einleitung Die IT Hygiene-Sektion im Wazuh Dashboard bietet eine zentrale Übersicht über Inventarisierungs- und Konfigurationsdaten (z. B. OS-Details, installierte Software, Prozesse, Netzwerk) aus allen überwachten Endpunkten. Diese Daten werden von den Syscollector-Modulen der Agenten gesammelt, in der Wazuh Indexer-Datenbank aggregiert und im Dashboard visualisiert. Wazuh Dokumentation Wenn in dieser Sektion jedoch nur „No results match … Weiterlesen

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Windows Sysmon Event ID 3 („Network connection“) ist eine der wichtigsten Telemetriequellen für Threat Hunting, IOC-Matching und Threat-Intel-Enrichment (z. B. via OpenCTI). In Wazuh wirkt das auf den ersten Blick trivial: „Ich schreibe eine Rule auf EventID 3, dann bekomme ich Alerts.“ In der Praxis scheitert es aber häufig an … Weiterlesen

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Beim Bau eigener Wazuh-Regeln kommt es oft zu einem Missverständnis, das in SIEM-Setups schnell zu falschen Alarmen oder – schlimmer – zu verdeckten Erkennungsregeln führt: Rule-IDs steuern keine Priorität. Entscheidend sind die Matching-Logik, die Regelhierarchie und die Severity/Level-Semantik in Kombination mit der Alert-Schwelle des Managers. Dieser Beitrag zeigt anhand eines … Weiterlesen

Einleitung UEBA-Logik in Wazuh lebt davon, dass Basiserkennung, Klassifizierung und Korrelation sauber ineinandergreifen: erst wird ein Event zuverlässig erkannt (Parent Rule), dann kategorisiert (z. B. Severity/Incident Type), und erst darauf baut die eigentliche UEBA-Korrelation (Frequency/Timeframe/Same-field) auf. In der Praxis scheitert genau dieses Konstrukt jedoch häufig nicht an der Korrelation selbst, sondern an zwei unscheinbaren Basics: … Weiterlesen

EinleitungDer Betrieb von Wazuh in Kubernetes-Umgebungen wie AWS EKS bringt klare Vorteile bei Skalierung und Hochverfügbarkeit, legt aber auch Verhaltensweisen offen, die in klassischen VM-Deployments weniger auffallen. Zwei besonders kritische Symptome treten dabei immer wieder auf: stetig wachsender Speicherverbrauch von wazuh-manager-worker-Pods und exakt periodische CPU-Spikes, die ganze Nodes destabilisieren können. Dieser Artikel ordnet beide Effekte … Weiterlesen