Monat: Dezember 2024

Hier die Erklärung für alle Rule Level von Wazuh: 0IgnoriertKeine Maßnahmen ergriffen. Verwendet, um Fehlalarme zu vermeiden.Diese Regeln werden vor allen anderen gescannt, umfassen Ereignisse ohne Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 2Systembenachrichtigung mit niedriger PrioritätSystembenachrichtigungen oder Statusmeldungen. Diese haben keine Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 3Erfolgreiche/Autorisierte EreignisseDiese umfassen erfolgreiche Anmeldeversuche, Firewall-Erlaubnisereignisse usw. 4Systemfehler … Weiterlesen

Der große Vorteil von Wazuh ist der schlanke Manager der die Logs bearbeitet und auswertet und erst im Anschluss in den Index speichert. Will man allerdings einen Alert generieren, bzw eine Regel schreiben, für Werte die nach dem Enrichment gesetzt werden (u.a. GeoIP), müssen wir auf das native Alerting von Opensearch umschalten:

In der Suchleiste von Wazuh-Dashboard kann man auch eine Freifeldsuche ohne Filter durchführen. Die Query Syntax erlaubt aber keine Wildcards im String. Wer das doch benötigt, klickt auf einen neuen Filter und wechselt „Edit as Query DSL“: Hier aktuell um nach den verschiedensten verwundbaren 7-ZIP Version zu suchen!

Mit dem Sysmon Agent lassen sich DNS Requests über EventID 22 via Manager an AlienVault OTX schicken und prüfen: https://github.com/juaromu/wazuh-domain-stats-alienvault