Alles rund ums Thema Wazuh
Heute wollen wir anhand eines Searchstrings – oder use-case – ein eigenes Dashboard bauen. Dazu gehen wir im Hauptmenü auf Threat Hunting und in Events fügen wir den Filter rule.id is 60204 hinzu. Das speichern wir indem wir links neben dem Suchfeld auf die Diskette klicken. Wir man sieht finden wir damit gehäufte falsche Windowsanmeldungen … Weiterlesen
Den geringsten Aufwand bei der Installation von MISP 2.5 hat man mit Ubuntu 24.04 LTS. Es gibt zwar einige Anleitungen die auch mit 22.04 funktionieren wie hier: https://medium.com/@boristheblade1/installing-misp-2-5-and-basic-api-usage-ccfbee4177a9 Wer es aber nicht ganz so frickelig mag, macht das straight-forward mit Ubuntu 24.04. Ich habe dazu eine kleine VM bei Hetzner erstellt und mit dem Image … Weiterlesen
Beim Einrichten von Wazuh und MISP kann es am Anfang schon mal zu Schwierigkeiten kommen, da das Integrationsscript nicht wirklich gesprächig ist. Um hier etwas mehr Sichtbarkeit in MISP zu bekommen, lohnt es sich das auth debug zu aktivieren: Ganz einfach über Administration, Server Settings & Maintenance, MISP zu finden. Danach erscheinen die Abfragen über … Weiterlesen
Über die UI kann man in MISP keine Schedules für wiederkehrende Tasks einstellen. Am einfachsten ist hier die Variante über einen Cronjob: Dabei werden als User www-data (Webserver Ubuntu) alle Feeds mit dem User ID 1 (default admin) aktualisiert. Falls weitere User verwendet werden dann einfach die entsprechende ID anpassen. Im besten Fall kommen keine … Weiterlesen
Der Großteil alles Howtos im Netz findet man zu MISP 2.4 auf Ubuntu 22.04. Wenn ihr also diese Kombination installiert habt und 2.5 testen wollt, müsst ihr ein paar kleine Sachen beachten. Es gibt ein Update-Script was auch relativ zuverlässig funktioniert, allerdings nur mit Ubuntu 24.04! D.h. wir müssen erst einmal unsere Installation mit do-release-upgrade … Weiterlesen
Ein Update von MISP innerhalb des 2.4 Branch ist ganz einfach. Nach dem Login auf Administration und dann Server Settings & Maintenance: Anschließend auf den Reiter Diagnostics und Update MISP klicken Und das wars auch schon!
Habe einen neuen Artikel zur zentralen Verteilung von Agent-Konfigurationen in Wazuh veröffentlicht. Weiter gehts hier Zentralisierte Konfigurationsverteilung von Wazuh Agents
In einer aktuellen Slack-Diskussion innerhalb der Wazuh-Community hat ein Nutzer auf das Problem hingewiesen, dass ältere CVEs in Linux-Systemen als Sicherheitslücken angezeigt werden, obwohl die Systeme vollständig gepatcht sind. Das Wazuh-Team erklärte, dass die Schwachstellenlisten von den jeweiligen Distributionen gepflegt werden, in diesem Fall Ubuntu. Ein Update des Systems bedeutet nicht automatisch, dass alle CVEs … Weiterlesen