Wazuh-Regeln und -Decoder für ntopng veröffentlicht

Wir bei m.a.x. it freuen uns, ein neues Open-Source-Projekt mit der Community zu teilen: Regeln und Decoder für die Integration von ntopng in Wazuh! Diese Erweiterungen erleichtern es, Netzwerkereignisse aus ntopng direkt in die leistungsstarke SIEM-Plattform Wazuh zu integrieren – für mehr Transparenz, bessere Alarmierung und effektivere Bedrohungserkennung.

Warum ntopng mit Wazuh kombinieren?

ntopng ist ein bekanntes Open-Source-Netzwerk-Monitoring-Tool, das umfassende Einblicke in Netzwerkverkehr, Bandbreitennutzung und potenziell verdächtige Aktivitäten liefert. Wazuh wiederum ist eine leistungsstarke SIEM-Plattform, die Funktionen wie Log-Management, Intrusion Detection, Vulnerability Scanning und Compliance-Monitoring bietet.

Durch die Kombination beider Tools lassen sich sicherheitsrelevante Netzwerkereignisse aus ntopng zentral erfassen, analysieren und automatisiert auswerten – etwa bei Portscans, ungewöhnlichen Zugriffsmustern oder Geo-basierten Anomalien.

Was haben wir entwickelt?

Wir haben Decoder und Regeln entwickelt, um ntopng-Logs sauber in Wazuh zu verarbeiten. Diese gibt es sowohl für das einfache Text-Format der ntopng Community Edition als auch für das erweiterte ECS-Format der Pro Edition. Damit werden relevante Felder extrahiert und in Wazuh logisch aufbereitet, um beispielsweise Angreifer-IP-Adressen, Geolokalisierung oder Scanmuster sichtbar zu machen.

Die Pakete sind öffentlich verfügbar auf GitHub:

  • Regeln (Text):
    https://raw.githubusercontent.com/maxitdev/wazuh-ntopng/refs/heads/main/rules/ntopng_text_rules.xml
  • Regeln (ECS):
    https://raw.githubusercontent.com/maxitdev/wazuh-ntopng/refs/heads/main/rules/ntopng_ecs_rules.xml
  • Decoder (Text):
    https://raw.githubusercontent.com/maxitdev/wazuh-ntopng/refs/heads/main/decoders/ntopng_text_decoder.xml
  • Decoder (JSON):
    https://raw.githubusercontent.com/maxitdev/wazuh-ntopng/refs/heads/main/decoders/ntopng_json_decoder.xml

Installation in wenigen Schritten

  1. Per SSH auf die Wazuh-Instanz verbinden.
  2. Die entsprechenden Dateien mit wget herunterladen.
  3. Nach dem Download den Wazuh-Dienst neustarten:
    /var/ossec/bin/wazuh-control restart

Eine vollständige Anleitung inkl. Pfadangaben findet sich in unserer Präsentation.

Was kommt als Nächstes?

Die Entwicklung steht nicht still! Wir rufen die Community auf, aktiv mitzuarbeiten:

  • Testet die Regeln in euren Umgebungen.
  • Reicht Pull Requests ein, um weitere Logformate zu unterstützen.
  • Helft dabei, noch mehr Informationen aus ntopng-Logs herauszuholen.

Unser Ziel ist es, sichtbare und verständliche Security-Informationen aus Netzwerkdaten zu machen – effizient, zuverlässig und Open Source.

Fragen oder Feedback?
Kontakt: michael.muenz@max-it.de
Projektseite: GitHub Repository