März 2026 – Seite 2

CVE-2024-56180 in Wazuh: Warum eine Apache-EventMesh-Schwachstelle als Kernel-Vulnerability auf Ubuntu erscheint

21. März 2026 von Michael Muenz

Einleitung Vulnerability Detection ist nur dann wirklich hilfreich, wenn Findings korrekt eingeordnet werden können. Gerade bei CVEs mit hohem Schweregrad führt eine falsche oder missverständliche Zuordnung schnell zu Verunsicherung – insbesondere in Audits oder Compliance-Prüfungen. Ein aktuelles Beispiel ist CVE-2024-56180, das in Wazuh auf Ubuntu 24.04 LTS als kritisch gemeldet wird, obwohl das betroffene Produkt … Weiterlesen

Sophos Firewall (SFW) Logs in Wazuh

20. März 2026 von Michael Muenz

Warum „DoS Attack / Denied“ korrekt decodiert wird – und trotzdem nicht immer sichtbar ist Einleitung Sophos-Firewall-Logs (SFW / XG / XGS) gehören zu den umfangreichsten und komplexesten Firewall-Logs überhaupt.Besonders Felder wie: sorgen häufig für Verwirrung, wenn sie nicht wie erwartet im wazuh-logtest oder Dashboard erscheinen, obwohl Decoder vorhanden sind. Dieser Artikel erklärt: 1. Beispiel: … Weiterlesen

Wazuh RBAC: Fehler bei benutzerdefinierten Dashboards und fehlenden Index-Rechten sauber beheben

19. März 2026 von Michael Muenz

Einleitung Role-Based Access Control (RBAC) ist in Wazuh essenziell, um Mandantentrennung, Least-Privilege-Prinzip und organisatorische Zuständigkeiten sauber abzubilden. Besonders in Umgebungen mit mehreren Teams oder Kunden wird häufig ein separates Dashboard mit eingeschränkten Rechten benötigt – etwa für das Lesen und Verwalten bestimmter Agent-Gruppen. In der Praxis treten dabei jedoch regelmäßig Fehler auf, die auf unvollständige … Weiterlesen

Wazuh CTI und CVE-Verfügbarkeit: Update-Zyklen, Synchronisation und praktische Erwartungen

19. März 2026 von Michael Muenz

Einleitung Die Qualität und Aktualität von Vulnerability-Daten ist ein zentraler Erfolgsfaktor für jede SIEM- und Vulnerability-Management-Strategie. In Wazuh übernimmt diese Rolle die Cyber Threat Intelligence (CTI), die CVEs, Schwachstellen-Metadaten und zugehörige Informationen bereitstellt. In der Community taucht regelmäßig die Frage auf, wie aktuell diese Daten tatsächlich sind, wie oft neue CVEs verfügbar werden und warum … Weiterlesen

Wazuh FIM: File-Limit erhöhen bei Millionen von Dateien

18. März 2026 von Michael Muenz

Saubere Konfiguration, Grenzen und Performance-Auswirkungen Einleitung In großen Umgebungen – etwa auf File-Servern, Storage-Systemen oder Windows Storage Spaces – stößt das File Integrity Monitoring (FIM / Syscheck) von Wazuh schnell an seine Standardgrenzen.Ein typisches Szenario sind 1.000.000+ Dateien, die überwacht werden sollen. Dieser Artikel erklärt: 1. Ausgangssituation aus dem Community-Thread Ziel Überwachung von > 1.000.000 … Weiterlesen

Wazuh-Korrelation für Brute-Force über mehrere Systeme: Warum nicht triggert – und wie du es stabil löst

17. März 2026 von Michael Muenz

Einleitung Brute-Force- und Password-Spraying-Angriffe laufen selten „sauber“ auf einem einzigen System. In realen SIEM-Szenarien verteilen sich fehlgeschlagene Anmeldungen über verschiedene Hosts, Dienste und Logquellen – oft mit identischem Quell-IP-Adressraum oder identischem Benutzernamen. Wazuh kann solche Muster grundsätzlich über Frequenz-/Zeitfenster-Regeln korrelieren. In der Praxis scheitern entsprechende Custom Rules jedoch häufig daran, dass die Korrelation nicht auf … Weiterlesen

Fehlende wazuh.yml & nicht erreichbares Wazuh Dashboard

16. März 2026 von Michael Muenz

Ursachenanalyse und saubere Lösung bei Distributed / All-in-One Deployments Einleitung Beim Deployment des Wazuh Dashboards nach offizieller Anleitung kann es zu einer verwirrenden Situation kommen: Dieser Artikel erklärt: 1. Ausgangssituation Setup Beobachtungen 2. Wichtige Hintergrundinfo: Wann wird wazuh.yml erstellt? Die Datei wazuh.yml wird nicht während der Paketinstallation erzeugt. 📌 Sie wird erst automatisch generiert, wenn: … Weiterlesen

Drupal EOL-Erkennung mit Wazuh

15. März 2026 von Michael Muenz

Custom Decoder & Rules korrekt umsetzen (inkl. typischer Stolperfallen) Einleitung Viele Organisationen betreiben CMS-basierte Webanwendungen wie Drupal und stehen vor der Herausforderung, End-of-Life-Versionen (EOL) zuverlässig zu erkennen.Wazuh bietet dafür alle notwendigen Bausteine – Logsammlung, Decoder und Regeln – allerdings mit einigen syntaktischen und logischen Feinheiten. Dieser Artikel zeigt anhand eines realen Community-Falls: 1. Ausgangssituation & … Weiterlesen

Wazuh HTTP-Decoding erweitern: Warum dein Custom-Decoder nicht greift – und wie du Referer/User-Agent sauber extrahierst

14. März 2026 von Michael Muenz

Einleitung HTTP-Access-Logs sind in Wazuh häufig der Einstiegspunkt für Web- und AppSec-Korrelationen: Brute-Force, Scans, verdächtige User-Agents, Exploit-Versuche und Policy-Verstöße werden oft erst durch sauber extrahierte Felder wirklich auswertbar. In der Praxis scheitert die Erweiterung bestehender Decoder jedoch oft an einem Detail: der Decoder-Pipeline und der Art, wie Wazuh Parent-, Child- und „Sibling“-Decoder auswertet. Dieser Beitrag … Weiterlesen

UniFi UDM Pro in Wazuh 4.12.0 integrieren: Logs sauber ablegen, Decoder stabil bauen, Regeln zuverlässig matchen

13. März 2026 von Michael Muenz

Einleitung UniFi UDM Pro (inkl. IDS/IPS-Daemon) produziert Syslog-Events, die in Wazuh oft zunächst nur als generische Syslog-Meldungen landen. Ohne passende Decoder fehlen strukturierte Felder wie srcip, dstip, dstport oder protocol – und damit auch die Basis für belastbare Regeln und Threat-Hunting-Queries. In diesem Beitrag geht es darum, UDM-Logs in eine eigene Logdatei (z. B. UDMPrologs.log) … Weiterlesen