CVE-2025-68428 in Wazuh 4.14.1: Umgang mit verwundbaren Dashboard-Abhängigkeiten und realistische Mitigations

von

Einleitung Regelmäßige Schwachstellenscans von Infrastruktur- und Security-Komponenten sind Best Practice – und führen nicht selten zu Befunden in Drittbibliotheken. Besonders sensibel ist dies bei SIEM-Frontends wie dem Wazuh Dashboard, da hier potenziell sicherheitskritische Interaktionen zwischen Backend, Dateisystem und Benutzeroberfläche stattfinden. Dieser Beitrag beleuchtet den Umgang mit CVE-2025-68428 in Wazuh v4.14.1, erklärt die architektonischen Hintergründe und … Weiterlesen

Fehlende Prozesse erkennen in Wazuh: Warum Rules allein nicht reichen – und welche Ansätze wirklich funktionieren

von

Einleitung Ein häufiges Ziel im Security Monitoring ist nicht nur das Erkennen verdächtiger Aktivitäten, sondern auch das Erkennen von Abweichungen vom Sollzustand: Ein wichtiger Prozess läuft nicht (mehr), ein Agent ist „blind“, oder eine sicherheitsrelevante Komponente wurde deaktiviert. In Wazuh ist die Versuchung groß, dafür einfach Regeln auf Syscollector-Prozessdaten zu bauen. In der Praxis stößt … Weiterlesen

Wazuh Indexer Cluster und Grafana: Architektur, Datenverfügbarkeit und Hochverfügbarkeit richtig verstehen

von

Einleitung Die Integration von Grafana in eine Wazuh-Umgebung ist ein häufiger Wunsch, insbesondere wenn es um individuelle Dashboards, Langzeitvisualisierung oder die Korrelation von Security-Daten geht. In produktiven Setups wird der Wazuh Indexer jedoch meist als Cluster betrieben. Genau hier entstehen typische Fragen: Welcher Indexer ist der richtige Anlaufpunkt für Grafana? Was passiert bei einem Node-Ausfall? … Weiterlesen

Auditd vollständig dekodieren in Wazuh? Warum es keinen „All-in-One“-Decoder gibt – und was stattdessen sinnvoll ist

von

Einleitung Linux auditd ist eines der mächtigsten, aber zugleich sperrigsten Telemetrie-Subsysteme im Linux-Ökosystem. Mit über 100 unterschiedlichen Event-Typen liefert auditd extrem detaillierte Informationen zu Prozessen, Systemaufrufen, Berechtigungen und Benutzeraktionen. In der Praxis stellt sich für Wazuh-Administratoren jedoch schnell eine ernüchternde Frage: Gibt es einen vollständigen auditd-Decoder, der alle Event-Typen sinnvoll abdeckt? Die kurze Antwort lautet: … Weiterlesen

Fallback-Regeln statt Fallback-Decoder: Unbekannte Syslog-Typen und Felder zuverlässig in Wazuh erkennen

von

Einleitung Bei Firewalls und Security-Appliances ist Syslog oft die einzige Telemetriequelle – und gleichzeitig die unbequemste: viele Module, wechselnde Felder, keine Herstellerdokumentation. Für Wazuh-Administratoren entsteht damit ein doppeltes Problem: Einerseits will man saubere Decoder und sinnvolle Regeln für bekannte Message-Typen, andererseits möchte man sofort alarmiert werden, wenn neue Message-Typen oder neue Felder auftauchen, um den … Weiterlesen

MikroTik-Logs kommen an – aber erscheinen nicht im Wazuh Dashboard: Ursachenanalyse und saubere Lösung

von

Einleitung Die Einbindung von Netzwerkgeräten über Syslog gehört zu den klassischen Einsatzszenarien von Wazuh. Gerade Router wie MikroTik liefern sicherheitsrelevante Informationen zu Verbindungen, Firewalls, NAT und Systemereignissen. Häufig tritt jedoch ein typisches Problem auf: Die Logs werden korrekt per Syslog empfangen und sogar im Wazuh-Archiv gespeichert, tauchen aber weder als Alerts noch in den Dashboards … Weiterlesen

Wazuh in groß: Architektur, Sizing und Hot/Warm-Indexer für 2.500 Agents, 5.000 EPS und 90 Tage Retention

von

Einleitung Wazuh skaliert gut – aber bei mehreren tausend Agents, zusätzlicher Syslog- und Datenbank-Ingestion sowie 90 Tagen Aufbewahrung entscheidet die Architektur über Stabilität, Kosten und Betriebskomplexität. Besonders kritisch sind dabei die Trennung von Analyse (Manager-Cluster) und Storage/Search (Indexer-Cluster), eine saubere Hot/Warm-Strategie im Indexer sowie ein realistisches Kapazitätsmodell (EPS, Eventgröße, Index-Overhead, Replikate, Shards). Dieser Beitrag konsolidiert … Weiterlesen

Gezieltes Archive-Logging in Wazuh: Warum selektive logall-/archives-Filter dringend fehlen – und welche Workarounds es heute gibt

von

Einleitung Archive-Logging (logall / logall_json) gehört zu den mächtigsten, aber zugleich riskantesten Funktionen im Wazuh-Manager. Es ermöglicht vollständige Transparenz über alle verarbeiteten Events – inklusive jener, die keine Alerts erzeugen. Genau diese Eigenschaft macht Archive-Logs für Debugging, Troubleshooting und Regelentwicklung unverzichtbar. In produktiven Umgebungen mit hohem Eventdurchsatz kann das globale Aktivieren von Archives jedoch schnell … Weiterlesen

Wazuh auf EKS: Warum ein Filebeat.yml-VolumeMount den Manager crasht – und wie du Archives sauber aktivierst

von

Einleitung Wer Wazuh in Kubernetes (z. B. EKS) betreibt, will früher oder später mehr als nur alerts.json in den Indexer schreiben: Für forensische Analysen, Incident Response und Compliance ist das Archiv-Logging (archives.json) extrem wertvoll. In klassischen Deployments genügt oft ein simples Aktivieren des Filebeat-Archives-Filesets. In Kubernetes kann genau dieser Schritt jedoch dazu führen, dass der … Weiterlesen

Wazuh-Alert-Automatisierung im SOC: n8n oder Shuffle? Eine technische Einordnung

von

Einleitung Security Operations Center (SOC) stehen unter stetigem Druck, eingehende Sicherheitsalarme effizient zu triagieren, anzureichern und – wo möglich – automatisiert zu behandeln. Wazuh liefert als SIEM- und XDR-Plattform eine solide Grundlage für Detektion und Korrelation, entfaltet sein volles Potenzial jedoch erst in Kombination mit Automatisierungs- und Orchestrierungslösungen. Häufig stellt sich dabei die Frage: Welche … Weiterlesen