Alles rund ums Thema Wazuh
Slack ist ein großartiger Ort für schnellen Austausch – aber genau das ist manchmal auch ein Problem. Nachrichten verschwinden nach 90 Tagen aus dem Verlauf, werden nicht indexiert und wertvolle Diskussionen sind später kaum mehr auffindbar. Gerade im Wazuh-Slack, in dem viele spannende technische Gespräche stattfinden, fand ich das zunehmend schade. Deshalb habe ich mich … Weiterlesen
In komplexen Cloud-Umgebungen ist es essenziell, ungewöhnliche Aktivitäten frühzeitig zu erkennen. Eine häufige Herausforderung: Ein überwachter Benutzerin führt eine Operation plötzlich von einer neuen, bisher unbekannten IP-Adresse aus.Im Slack-Thread aus dem Wazuh-Community-Channel schilderte Marcin Strzyzewski genau dieses Problem – und erhielt hilfreiche Antworten, die wir hier zusammenfassen. Ausgangssituation Marcin wollte eine korrelierende Wazuh-Regel schreiben, die … Weiterlesen
In einem aktuellen Slack-Thread schilderte ein Anwender ein Problem, das viele Administratoren kennen: Wazuh für Umgebungen ohne Internetzugang (Air-Gapped / Restricted Networks) korrekt zu konfigurieren, insbesondere die Offline-Vulnerability-Detection.Der Dialog entwickelte sich schnell zu einem hilfreichen Troubleshooting-Leitfaden – mit einigen wichtigen Learnings, die wir hier als Blogpost zusammenfassen. 1. Ausgangslage: Wazuh im Offline-Betrieb Der Nutzer wollte … Weiterlesen
In der heutigen Welt der Cybersecurity ist Transparenz ein zentraler Baustein jeder Sicherheitsarchitektur. Wer hat sich wann eingeloggt? Welche Aktionen wurden ausgeführt? Und wo werden diese Informationen gespeichert?Genau diese Fragen stellte Moiz Munawar heute Morgen im Wazuh-Community-Channel – und löste damit eine kleine, aber äußerst hilfreiche Diskussion aus. Im Folgenden fassen wir den Austausch zusammen … Weiterlesen
Im Einleitungsartikel zu den ISACA Use-cases habe ich ganz unten bereits den Use-case B01 angeteasert. Jetzt ist dann auch der erste Artikel der Serie soweit fertig. Wie immer ist SIEM kein abschließender Prozess, heißt, die Ansätze via auditd und FIM für Linux fehlen hier noch, dazu fehlen noch Artikel die die Grundlagen dazu erläutern. Viel … Weiterlesen
In Wazuh werden Events pro Sekunde gezählt, d.h. es ist immer was los. Doch wer alarmiert uns wenn Wazuh keine Daten mehr in den Index schreibt, oder ein spezifischer Agent keine Events mehr schickt? Kevin Branch, ein Wazuh Ambassador Kollege hat sich dem Thema befasst, viel Spaß beim lesen.
Das MISP-Team hat einen neuen Guide für Performance-Tuning eurer Instanz veröffentlicht
Ab heute startet eine neue Serie zu Anleitungen wie in Wazuh Use-Cases anhand des ISACA-Frameworks umgesetzt werden können. Hier geht es los …
Man muss das Rad nicht immer 2mal erfinden. Ein Bekannter hat einen guten Artikel inkl. YouTube Video dazu veröffentlicht, in dem alles ganz gut beschrieben ist. Man muss es einmal selbst gemacht haben, ohne sich vorher noch die nächsten drei Schritte zu fragen. https://elwalikarkoub.substack.com/p/network-isolation-for-dfir-using Active-Response selbst ist natürlich auch in der Dokumentation von Wazuh selbst … Weiterlesen