Wazuh-Blog

Einleitung Die AWS-Integration von Wazuh liest CloudTrail-Logs aus einem S3-Bucket, verarbeitet sie über das AWS-Modul und erzeugt daraus Events für die Wazuh-Indizes. Wenn der Bucket erreichbar ist, im Dashboard aber keine CloudTrail-Daten erscheinen, liegt das Problem häufig nicht am Dashboard selbst, sondern an der vorgelagerten Erfassung: Wazuh findet keine neuen oder korrekt adressierbaren Logobjekte im … Weiterlesen

Einleitung In Kubernetes-Umgebungen können Wazuh-Agenten sehr schnell große Mengen an Container- und Applikationslogs erfassen. Werden diese ungefiltert an den Wazuh Manager weitergeleitet, steigt die Last auf wazuh-analysisd, da Parsing, Decoding und Rule-Matching zentral auf Manager-Seite stattfinden. Besonders bei vielen Microservices führt Log-Noise daher nicht nur zu unnötigen Events, sondern auch zu messbaren Performance-Problemen. Ausgangslage / … Weiterlesen

Einleitung Wireless-Infrastruktur erzeugt sicherheitsrelevante Logs zu Access Points, WLANs, Authentifizierungen, Client-Verbindungen und VLAN-Zuordnungen. Für Security Monitoring mit Wazuh sind diese Daten besonders wertvoll, weil sie Hinweise auf neue Clients, fehlgeschlagene Authentifizierungen, verdächtige SSIDs oder ungewöhnliche Client-IP-Zuweisungen liefern können. Bei Ruckus-Logs zeigt sich jedoch schnell: Nicht jedes Logformat lässt sich mit einem einzigen Decoder sauber abdecken. … Weiterlesen

Einleitung Die Analyse von Sysmon-Logs gehört zu den zentralen Bausteinen moderner Endpoint Detection und SIEM-Strategien. Besonders interessant ist dabei Event ID 1 (Process Creation), da hier häufig CommandLines mit potenziell schädlichen Verbindungen oder Indicators of Compromise (IoCs) enthalten sind. Der Wunsch, IP-Adressen direkt aus diesen Feldern zu extrahieren und in Wazuh weiterzuverarbeiten, ist daher naheliegend … Weiterlesen

Einleitung Bei der Integration von AWS CloudTrail in Wazuh erwarten viele Administratoren, dass jedes CloudTrail-Ereignis automatisch als Alert im Wazuh Dashboard erscheint. In der Praxis ist das nicht immer der Fall. Wazuh verarbeitet CloudTrail-Logs zwar aus S3, aber die Standardregeln entscheiden, welche Events tatsächlich als Alerts erzeugt und indexiert werden. Ausgangslage / Problemstellung Nach der … Weiterlesen

Einleitung Scan-Tools erzeugen häufig umfangreiche JSON-Dateien mit Metadaten, Assets, Findings, DNS-Daten, HTTP-Ergebnissen oder Geolocation-Informationen. Für Wazuh ist dabei nicht nur entscheidend, ob die Daten syntaktisch korrektes JSON sind, sondern auch, wie sie strukturiert sind. Ein einzelnes großes JSON-Objekt mit verschachtelten Arrays ist für die Logverarbeitung deutlich schlechter geeignet als einzelne, zeilenbasierte Events. Ausgangslage / Problemstellung … Weiterlesen

Einleitung Sysmon-basierte Detection Rules in Wazuh liefern wertvolle Telemetrie für sicherheitsrelevante Dateioperationen. Gleichzeitig erzeugen sie in der Praxis häufig False Positives, insbesondere bei legitimen Betriebssystemmechanismen. Ein klassisches Beispiel ist PowerShells Execution Policy Test, bei dem temporäre Dateien im Benutzer-Temp-Verzeichnis erstellt werden. Ohne gezielte Filterung führen diese Events zu unnötigem Alert-Noise auf hohem Severity-Level. Ausgangslage / … Weiterlesen

Einleitung In modernen SIEM-Umgebungen ist die Verarbeitung strukturierter Logs essenziell. Wazuh setzt dabei stark auf JSON-basierte Events, die über Decoder, Filebeat und den Wazuh Indexer verarbeitet werden. Ein häufiges Problem tritt auf, wenn sich die Datenstruktur eines Feldes ändert – etwa wenn ein Feld einmal als String und ein anderes Mal als Objekt geliefert wird. … Weiterlesen

Einleitung Die Meldung agent buffer is full at 90% ist ein wichtiger Hinweis auf Event-Stau zwischen Wazuh Agent und Wazuh Manager. Für SIEM- und Security-Teams ist das relevant, weil ein dauerhaft gefüllter Agent-Buffer nicht nur Rauschen signalisiert, sondern im weiteren Verlauf zu verworfenen Events und damit zu Sichtbarkeitsverlust führen kann. Ausgangslage / Problemstellung Ein einzelner … Weiterlesen

Einleitung Die E-Mail-Benachrichtigung in Wazuh wirkt auf den ersten Blick einfach: globale SMTP-Einstellungen definieren, Alert-Level festlegen und bei Bedarf mit <email_alerts> gezielt einzelne Regeln oder Gruppen auswählen. In der Praxis führt genau diese Kombination jedoch regelmäßig zu Missverständnissen. Besonders häufig ist die Annahme, dass ein <email_alerts>-Block mit einer bestimmten rule_id auch dann eine E-Mail auslösen … Weiterlesen