Monat: April 2026

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Beim Bau eigener Wazuh-Regeln kommt es oft zu einem Missverständnis, das in SIEM-Setups schnell zu falschen Alarmen oder – schlimmer – zu verdeckten Erkennungsregeln führt: Rule-IDs steuern keine Priorität. Entscheidend sind die Matching-Logik, die Regelhierarchie und die Severity/Level-Semantik in Kombination mit der Alert-Schwelle des Managers. Dieser Beitrag zeigt anhand eines … Weiterlesen

Einleitung UEBA-Logik in Wazuh lebt davon, dass Basiserkennung, Klassifizierung und Korrelation sauber ineinandergreifen: erst wird ein Event zuverlässig erkannt (Parent Rule), dann kategorisiert (z. B. Severity/Incident Type), und erst darauf baut die eigentliche UEBA-Korrelation (Frequency/Timeframe/Same-field) auf. In der Praxis scheitert genau dieses Konstrukt jedoch häufig nicht an der Korrelation selbst, sondern an zwei unscheinbaren Basics: … Weiterlesen

EinleitungDer Betrieb von Wazuh in Kubernetes-Umgebungen wie AWS EKS bringt klare Vorteile bei Skalierung und Hochverfügbarkeit, legt aber auch Verhaltensweisen offen, die in klassischen VM-Deployments weniger auffallen. Zwei besonders kritische Symptome treten dabei immer wieder auf: stetig wachsender Speicherverbrauch von wazuh-manager-worker-Pods und exakt periodische CPU-Spikes, die ganze Nodes destabilisieren können. Dieser Artikel ordnet beide Effekte … Weiterlesen

EinleitungPasswortrotation ist in produktiven SIEM-/XDR-Umgebungen Pflicht – aber in verteilten Wazuh-Deployments kann ein unvollständig durchgezogener Passwortwechsel schnell zum Totalausfall des Dashboards führen. Typisches Symptom: opensearch-dashboards wirft fortlaufend [ResponseError], während der Manager und der Indexer scheinbar „laufen“. Dieser Artikel erklärt die häufigsten Ursachen in der Wazuh-Architektur, warum wazuh-passwords-tool.sh auf dem Manager nur die Help-Page ausgibt oder … Weiterlesen