Windows-Eventlogs über Graylog an Wazuh weiterleiten: Warum sie in archives.json landen, aber keine Alerts erzeugen

Einleitung Windows-Eventlogs gehören zu den wichtigsten Datenquellen in einem SIEM. Sie liefern Informationen zu Authentifizierungen, Gruppenänderungen, Prozessstarts, Richtlinienänderungen und sicherheitsrelevanten Systemereignissen. In Wazuh werden solche Ereignisse normalerweise über die Windows-EventChannel-Integration des Wazuh-Agenten verarbeitet und anschließend durch die passenden Windows-Decoder und Rulesets analysiert. Komplexer wird es, wenn Windows-Events nicht direkt vom Wazuh-Agenten, sondern über eine bestehende … Weiterlesen