Und wie arbeitet die eingebaute Anomaly Detection überhaupt?

Ausgangsfrage aus dem Thread

User Yugandhar M. wollte wissen:

„Kann ich Wazuh-Regeln auf OpenSearch Anomaly Detection erstellen?“
(gemeint: Kann man Alerts generieren oder Wazuh-Regeln schreiben, die auf Anomalien basieren, die OpenSearch erkennt?)

Die Antwort von Wazuh Engineer Bony John lautet:
Ja – in Wazuh 4.14.x ist Anomaly Detection voll integriert und einsatzbereit.

Und jetzt schauen wir uns im Detail an wie.

1. Was ist neu in Wazuh 4.14.x?Seit Version 4.14.x enthält Wazuh:

OpenSearch Anomaly Detection Plugin
OpenSearch Machine Learning Backend
Dashboard-Menüs, um Detektoren ohne Plugins zu erstellen

Das bedeutet:

Kein manuelles Nachinstallieren
Keine Konfiguration von OpenSearch-Plugins
Anomaly Detection funktioniert „out of the box“

2. Was macht die OpenSearch Anomaly Detection in Wazuh?

OpenSearch analysiert historische Daten in den Wazuh-Indices und erkennt Muster wie:

Ungewöhnliche Login-Frequenzen
Systemressourcen-Anomalien
Plötzlicher Anstieg bestimmter Events
Suspicious Activity Patterns auf Endpoints
Abweichungen im Netzwerkverkehr

Die Ergebnisse erscheinen als neue Datensätze in OpenSearch – und genau die kann man für Alerts nutzen.

3. Kann ich Wazuh-Regeln auf diese Anomalien erstellen?

Kurzfassung:

Ja, aber nicht direkt im Wazuh Ruleset.
Wazuh-Regeln greifen nur auf eingehende Logdaten zu – nicht auf interne OpenSearch-Berechnungen.

Der Trick ist: Anomaly Detector Results = neue Logs.
OpenSearch schreibt Alerts in eigene Indices wie:

.opensearch-anomaly-detector-results-*
.opensearch-anomaly-detector-state

Wenn man diese per log ingestion zurück in Wazuh holt (via Filebeat/Module), kann man normale Wazuh-Regeln darauf anwenden.

Also JA, aber über einen kleinen Zwischenschritt.

4. Was geht sofort – direkt im Dashboard (ohne Regeln)?

Unter Security → Anomaly Detection kannst du:

Detector erstellen
Detector laufen lassen
Modell trainieren
Alerts sehen
Alerts exportieren / weiterverarbeiten

Das funktioniert komplett ohne Wazuh-Regeln.

5. Beispiel-Use Cases (vom Wazuh Blog bestätigt)

Use Case 1 – Login-Anomalien erkennen

Wazuh-Autor Abdullah Al Noman zeigt, wie man erkennt:

Plötzliche Spitzen in fehlgeschlagenen Logins
Ungewöhnliche Login-Zeiten
Anmeldungen von selten vorkommenden Hosts

Perfekt für:

Bruteforce Detection
Compromised Account Behavior
Insider Threat Monitoring

Use Case 2 – System-Metriken (Linux Server)

CPU-Ausreisser
RAM-Leaks
Disk-IO-Spikes
Netzwerkvolumen-Anomalien

Bony John hat genau diesen Test in 4.14.x erfolgreich durchgeführt.

6. Wie bekomme ich Wazuh-Regeln auf Anomaly Detection Alerts?

Option A – logisch & sauber

OpenSearch erzeugt Anomaly Result.
Filebeat/Logstash sammelt diese Ergebnisse ein.
Schickt sie zurück an Wazuh über port 1514 (json).
Wazuh decodiert + evaluiert Regeln.

→ Dann kannst du z. B. eine Regel bauen wie:

<rule id="800100" level="12">
  <decoded_as>json</decoded_as>
  <field name="anomaly_score">>80</field>
  <description>High Anomaly Score detected by OpenSearch ML</description>
</rule>

Option B – ohne Wazuh-Regeln

Verwende OpenSearch Alerts:

Trigger basierend auf anomaly_score
Benachrichtigung per E-Mail, Slack, Webhook usw.

**7. Was nicht geht**

OpenSearch Anomaly Data wird nicht automatisch in Wazuh Alerts angezeigt
Es gibt (noch) keine native Wazuh-Integration zum automatischen Erstellen von Regeln basierend auf ML-Ergebnissen
Wazuh analysiert nicht das ML-Model selbst – nur Logs

🧭 8. Fazit

Feature	Möglich?	Wie?
OpenSearch Anomaly Detection nutzen	✔	Direkt im Dashboard
Anomaly Alerts im Dashboard anzeigen	✔	Automatisch
Wazuh-Regeln direkt auf OpenSearch-ML anwenden	❌	Nicht direkt
Wazuh-Regeln über ML-Results anwenden	✔	ML-Results als Logs ingestieren
Deployment in 4.14.x	✔	Plugin integriert

Empfohlene Ressourcen

Wazuh Blog—Anomaly Detection Use Cases
https://wazuh.com/blog/enhancing-it-security-with-anomaly-detection-in-wazuh/

Wazuh Documentation – Anomaly Detection
(Plugin jetzt in OpenSearch integriert)

https://wazuh.slack.com/archives/C0A933R8E/p1764652520263599