Wazuh-Blog

Einleitung Wazuh wird häufig zuerst als „SIEM mit Indexer“ wahrgenommen: Logs werden eingesammelt, indexiert und sind im Dashboard durchsuchbar. Der eigentliche Sicherheitsmehrwert entsteht aber nicht in der Datenbank, sondern im Analyse- und Regelwerk des Wazuh Managers: Rohdaten werden dekodiert, zu Events normalisiert und anschließend über Regeln, Schwellenwerte und Korrelation in Alerts verwandelt. Wer verstehen will, … Weiterlesen

Einleitung EPSS (Exploit Prediction Scoring System) ergänzt klassische Vulnerability-Programme um eine entscheidende Dimension: die Wahrscheinlichkeit realer Ausnutzung in naher Zukunft. Während CVSS die theoretische Schwere einer Schwachstelle abbildet, priorisiert EPSS nach Exploit-Likelihood – genau das, was im operativen SOC-Alltag oft fehlt. EPSS wird von FIRST bereitgestellt und lässt sich über eine öffentliche API automatisiert abrufen. … Weiterlesen

Einleitung In produktiven Wazuh-Setups kollidieren zwei Realitäten: Agent-Alerts sind für Detection und Response essenziell, während Firewall-Syslog (z. B. Palo Alto) oft extrem volumenstark ist und andere Aufbewahrungsanforderungen hat. Wer beide Datenströme im gleichen wazuh-alerts-* Index hält, steht schnell vor Problemen bei Retention, Storage-Kosten und Performance. Der naheliegende Ansatz, per Filebeat output.elasticsearch.indices zu routen, funktioniert in … Weiterlesen

Die Einführung der neuen ISO 27001:2022 stellt Unternehmen – insbesondere kleine und mittelständische Betriebe – vor große Herausforderungen. Während die Anforderungen an Informationssicherheit steigen, müssen Organisationen gleichzeitig wirtschaftlich bleiben und ihre Sicherheitsprozesse effizient gestalten. Genau hier setzt Wazuh an: eine leistungsstarke Open-Source-Plattform, die XDR- und SIEM-Funktionen in einem zentralen System vereint. Obwohl Wazuh kein eigenes … Weiterlesen

EinleitungWazuh-Integrationen sind ein zentrales Bindeglied zwischen Detektion und Reaktion. Ob SOAR, DFIR-Plattformen oder externe Ticket- und Alerting-Systeme – viele Umgebungen leiten sicherheitsrelevante Events automatisiert weiter. In der Praxis zeigt sich jedoch immer wieder ein unerwartetes Verhalten: Sobald mehrere Integration-Blöcke auf dasselbe Event zutreffen, gehen Alerts scheinbar „verloren“. Dieser Artikel erklärt die interne Ausführungslogik von wazuh-integratord, … Weiterlesen

Einleitung Sobald Wazuh von „Proof of Concept“ in den produktiven SOC-Betrieb wächst, kippt ein All-in-One-Setup oft genau dort um, wo es weh tut: CPU/RAM-Spitzen durch Analyse und Korrelationsarbeit, I/O-Engpässe in /var/ossec, und vor allem Storage- und Performance-Druck im Indexer durch steigende Datenvolumina und Retention. Mit ~700 Agents plus zusätzlichen Integrationen (z. B. Firewalls via Syslog) … Weiterlesen

Problem:Auf einem Windows Server (z. B. Domain Controller/Active Directory) laufen die Windows User Logoff-Events heiß und erzeugen in Wazuh eine Log-Flut – ohne echten Mehrwert. Ziel ist: Nur relevante Login-Events behalten (z. B. interaktive Logins), den Rest möglichst früh abstellen. Warum das passiert Auf Windows-Systemen entstehen Login/Logout-Events sehr häufig – nicht nur durch „echte“ Benutzer, … Weiterlesen