Wazuh auf EKS: Warum ein Filebeat.yml-VolumeMount den Manager crasht – und wie du Archives sauber aktivierst

von

Einleitung Wer Wazuh in Kubernetes (z. B. EKS) betreibt, will früher oder später mehr als nur alerts.json in den Indexer schreiben: Für forensische Analysen, Incident Response und Compliance ist das Archiv-Logging (archives.json) extrem wertvoll. In klassischen Deployments genügt oft ein simples Aktivieren des Filebeat-Archives-Filesets. In Kubernetes kann genau dieser Schritt jedoch dazu führen, dass der … Weiterlesen

Wazuh-Alert-Automatisierung im SOC: n8n oder Shuffle? Eine technische Einordnung

von

Einleitung Security Operations Center (SOC) stehen unter stetigem Druck, eingehende Sicherheitsalarme effizient zu triagieren, anzureichern und – wo möglich – automatisiert zu behandeln. Wazuh liefert als SIEM- und XDR-Plattform eine solide Grundlage für Detektion und Korrelation, entfaltet sein volles Potenzial jedoch erst in Kombination mit Automatisierungs- und Orchestrierungslösungen. Häufig stellt sich dabei die Frage: Welche … Weiterlesen

Wazuh Vulnerability Detection verstehen: Warum „manuell erzeugte“ CVEs nicht erscheinen und was Inventory von Events unterscheidet

von

Einleitung Die Vulnerability Detection ist eines der leistungsstärksten, aber auch am häufigsten missverstandenen Module in Wazuh. Gerade bei Testszenarien – etwa dem absichtlichen Installieren veralteter Pakete – entsteht schnell der Eindruck, dass Wazuh Schwachstellen „nicht erkennt“ oder „nicht anzeigt“. In der Praxis liegt die Ursache jedoch fast immer im Zusammenspiel aus Paket-Inventarisierung, Feed-Updates und der … Weiterlesen

Wazuh Standardpasswörter sicher ändern: Dashboard- und Manager-Zugänge korrekt verwalten

von

Einleitung Ein neu installiertes Wazuh-System ist funktional sofort einsatzbereit – sicherheitstechnisch jedoch nur dann, wenn Standardpasswörter konsequent ersetzt werden. Gerade in produktiven oder internetnahen Umgebungen ist das Ändern der Default-Zugänge für Dashboard, Indexer und Manager ein absolutes Muss. Dieser Beitrag erklärt sauber getrennt, welche Passwörter es in Wazuh überhaupt gibt, wie sie technisch zusammenhängen und … Weiterlesen

Wazuh Rule-Priorität richtig verstehen: Warum „Catch-all“-Regeln gewinnen und wie man Audit-Defaults ohne Alert-Flut baut

von

Einleitung Beim Bau eigener Wazuh-Rulesets entsteht schnell der Wunsch nach einer „Auffangregel“: Alles, was nicht spezifisch gematcht wird, soll trotzdem klassifiziert, geloggt und später analysierbar sein. Genau hier stolpern viele – weil Wazuh Regeln nicht nach Rule-ID priorisiert, sondern nach Evaluierungslogik (insbesondere Severity/Level, Rule-Chain und Matching). Das Ergebnis: Eine Catch-all-Regel feuert immer, während die eigentlich … Weiterlesen

pfSense WebGUI- und Konfigurations-Events in Wazuh zuverlässig erkennen: Decoder-Design, Rule-Chain und typische Stolperfallen

von

Einleitung pfSense ist in vielen Umgebungen nicht nur ein Firewall-Gateway, sondern auch ein zentraler Audit-Punkt: WebGUI-Logins, Konfigurationsänderungen und das Anwenden von Filter-Regeln sind sicherheitsrelevant und gehören in ein SIEM. Wazuh eignet sich dafür hervorragend – allerdings stehen viele Integrationen und “funktioniert nur teilweise”-Symptome nicht im Zeichen falscher Regex, sondern in der falschen Kopplung zwischen Decoder-Ausgabe … Weiterlesen

Wazuh 4.7 → 4.14: Warum SMTP-Multiline-Logs „zerfallen“ und Decoder nur noch die erste Zeile sehen

von

Einleitung Beim Upgrade von Wazuh-Versionen fallen Decoder-Probleme oft erst im laufenden Betrieb auf: Regeln triggern nicht mehr, Felder bleiben leer oder es wird nur noch ein Bruchteil des erwarteten Events extrahiert. Ein besonders häufiger Auslöser ist nicht der Decoder selbst, sondern die Art, wie Wazuh Logzeilen zu Events gruppiert. Multiline-Formate (z. B. SMTP-Session-Traces) sind dafür … Weiterlesen

Wazuh Agent-Status nach Server-Upgrade: Ursachen, Upgrade-Strategien und Automatisierung

von

Einleitung Upgrades der zentralen Wazuh-Komponenten (Manager, Indexer, Dashboard) gehören zum regulären Betrieb einer SIEM-Plattform. In der Praxis führt ein Versionssprung jedoch häufig zu Verunsicherung, wenn Agents nach dem Upgrade plötzlich als Pending erscheinen, nicht mehr Active sind oder ganz aus dem Dashboard verschwinden. Dieser Artikel fasst eine umfangreiche Community-Diskussion zusammen und zeigt, wie Agent-Status nach … Weiterlesen

Wazuh Custom Decoder für Huawei-Storage-Syslog: Erfolgreiche Logins korrekt parsen

von

Einleitung Die Integration von Storage-Systemen in ein zentrales SIEM ist ein zentraler Baustein für belastbares Security-Monitoring. Gerade proprietäre Syslog-Formate, wie sie bei Enterprise-Storage-Systemen üblich sind, erfordern in Wazuh häufig eigene Decoder und Regeln. Dieser Artikel basiert auf einer realen Community-Diskussion aus dem Wazuh-Umfeld und zeigt praxisnah, wie Huawei-OceanStor-Logs korrekt dekodiert und in verwertbare Security-Alerts überführt … Weiterlesen

Private IP-Adressen in Wazuh-Regeln korrekt ausfiltern: Warum kein Regex kann und CDB-Listen die saubere Lösung sind

von

Einleitung In vielen Security-Use-Cases ist nicht jede erkannte Aktivität gleich relevant. Besonders bei Webangriffen, Authentifizierungsereignissen oder IDS-Alerts ist es oft sinnvoll, interne (private) Quell-IP-Adressen auszuschließen und den Fokus auf öffentliche, potenziell externe Angreifer zu legen. In Wazuh scheint dies auf den ersten Blick trivial – etwa durch einen Regex im <srcip>-Feld. In der Praxis führt … Weiterlesen