Netgear-Syslog in Wazuh sichtbar machen: Warum Logs ankommen, aber keine Alerts entstehen

von

Einleitung In Wazuh ist der reine Eingang eines Syslog-Streams noch kein Beleg dafür, dass die Daten auch inhaltlich ausgewertet werden. Gerade bei Netzwerkgeräten wie Netgear-Switches zeigt sich häufig ein typisches Muster: Die Logs landen per rsyslog in einer Datei, der Wazuh-Agent liest diese Datei korrekt ein, im Dashboard tauchen aber keine verwertbaren Events oder Alerts … Weiterlesen

Wazuh Vulnerability Detection bei 20.000 Agents: Warum Tausende Endpunkte im Vulnerability-Index fehlen

von

Einleitung Wenn Wazuh in großen Umgebungen plötzlich nur einen Teil der Agents im Vulnerability-Index anzeigt, liegt die Ursache oft nicht im CVE-Feed selbst und auch nicht primär im Indexer-Cluster. Die Vulnerability Detection in Wazuh arbeitet auf Basis der Syscollector-Inventardaten der Agents. Fehlen Paketdaten oder kommen sie verspätet bzw. unvollständig am Manager an, erscheinen betroffene Endpunkte … Weiterlesen

Wazuh Log-Ingestion verstehen: Warum bestehende Dateien ignoriert werden und wie Backfilling korrekt umgesetzt wird

von

Einleitung Wazuh ist darauf ausgelegt, kontinuierliche Ereignisströme zu verarbeiten – nicht statische Datenbestände. In der Praxis entsteht jedoch häufig die Anforderung, bereits vorhandene Logdateien nachträglich in Wazuh zu integrieren, etwa bei Migrationen, forensischen Analysen oder beim initialen Onboarding neuer Datenquellen. Gerade bei JSON-Logs im NDJSON-Format scheint dies auf den ersten Blick trivial: Datei ablegen, Monitoring … Weiterlesen

Wazuh-IoCs automatisiert an Palo Alto übergeben: Zwei belastbare Integrationsmuster für Blocklisten und Dynamic Address Groups

von

Einleitung In vielen Wazuh-Umgebungen endet die Erkennung nicht beim Alerting. Sobald Wazuh belastbare Indicators of Compromise wie Quell-IP-Adressen, Ziel-IP-Adressen oder andere verifizierte Netzwerkindikatoren erkennt, entsteht schnell der Wunsch, diese Informationen unmittelbar für Containment-Maßnahmen auf der Firewall zu nutzen. Genau an dieser Stelle ist die Integration mit Palo Alto Networks besonders interessant: Die Firewall kann dynamische … Weiterlesen

.opendistro_security hängt in „Recovery“: Warum der Wazuh Indexer oft nicht kaputt ist, sondern nur ausgebremst wird

von

Einleitung Wenn der Wazuh Indexer einen gelben Cluster-Status zeigt und ein sensibler Systemindex wie .opendistro_security über Tage im Zustand Recovery bleibt, wirkt das schnell wie ein Sicherheits- oder Datenintegritätsproblem. In vielen Fällen ist die Ursache aber deutlich banaler: Nicht ein defekter Security-Index blockiert den Cluster, sondern die Shard-Zuweisung wird durch Recovery-Grenzwerte gedrosselt. OpenSearch unterscheidet klar … Weiterlesen

Wazuh Mapping-Chaos durch Custom Index Template: Warum sich Feldtypen unerwartet ändern und wie man es richtig löst

von

Einleitung Die Anpassung von Feldtypen im Wazuh Indexer ist ein häufiger Anwendungsfall, insbesondere wenn numerische Auswertungen oder Aggregationen benötigt werden. Ein klassisches Beispiel ist die Umwandlung eines Feldes wie data.count von string zu integer, um es in Dashboards oder für Metriken nutzbar zu machen. Was auf den ersten Blick wie eine einfache Mapping-Anpassung erscheint, kann … Weiterlesen

Wazuh Decoder XML Syntax Error (1113): PCRE2, Duplicate Names und Caching-Probleme bei Fail2ban-Decodern

von

Einleitung Die Erstellung eigener Decoder gehört zu den zentralen Erweiterungsmöglichkeiten von Wazuh. Gerade bei Tools wie Fail2ban ist eine saubere Log-Parsing-Logik essenziell, um sicherheitsrelevante Ereignisse wie gebannte IP-Adressen korrekt zu erkennen und weiterzuverarbeiten. In der Praxis treten dabei jedoch häufig XML-Syntaxfehler oder unerwartetes Decoder-Verhalten auf, obwohl die regulären Ausdrücke scheinbar korrekt sind. Dieser Beitrag zeigt … Weiterlesen

Snapshots statt „Backup“-Action: Wazuh Indexer mit Snapshot Management und ISM korrekt absichern

von

Einleitung Wer Wazuh-Daten langfristig sichern und gleichzeitig alte Indizes automatisiert aus dem Cluster entfernen will, landet schnell bei zwei eng verwandten, aber funktional getrennten Mechanismen: Snapshot Management für Backups und Index State Management (ISM) für Aufbewahrung und Löschung. Genau an dieser Stelle entsteht in der Praxis häufig Verwirrung, weil in der Wazuh-Oberfläche unter der State-Definition … Weiterlesen

Wazuh Indexer Backups richtig umsetzen: Snapshot Policies, ISM und Index-Typen korrekt verstehen

von

Einleitung Backups von Security-Daten sind kein Nice-to-have, sondern ein zwingender Bestandteil jeder SIEM-Architektur. Mit dem Wazuh Indexer (basierend auf OpenSearch) stehen dafür leistungsfähige Mechanismen zur Verfügung – allerdings nicht immer dort, wo man sie intuitiv erwartet. Besonders häufig entsteht Verwirrung rund um Index State Management (ISM), Snapshot Policies und die unterschiedlichen Wazuh-Index-Typen. Dieser Artikel erklärt, … Weiterlesen

Browser-Erweiterungen in Wazuh sichtbar machen und riskante Extensions per Active Response entfernen

von

Einleitung Browser-Erweiterungen sind ein oft unterschätzter Teil der Angriffsfläche. Gerade in Unternehmensumgebungen können unscheinbare Add-ons Daten abgreifen, den Browser manipulieren, unerwünschte Werbung einschleusen oder als Persistenzmechanismus dienen. Mit den erweiterten Inventory-Funktionen von Wazuh lassen sich Browser-Erweiterungen zentral erfassen, im Dashboard sichtbar machen und über benutzerdefinierte Regeln gegen eine Negativliste prüfen. Wazuh speichert Browser-Extension-Inventardaten in eigenen … Weiterlesen