Slack

Wir verfolgen den internen Wazuh Slack-Channel aufmerksam und bereiten besonders interessante Diskussionen mithilfe von KI als Blogbeiträge auf. Da Slack-Unterhaltungen nach 90 Tagen automatisch gelöscht werden, sichern wir so wertvolles Wissen langfristig und machen es für alle jederzeit zugänglich.

  • Wazuh + AWS Security Hub (SQS Subscriber) und CloudTrail im selben aws-s3-Wodle: Wenn nur der erste Collector läuft

    Einleitung Viele Wazuh-Deployments in AWS starten mit CloudTrail – zurecht, denn damit landen IAM-, API- und Control-Plane-Aktivitäten zuverlässig im SIEM. Der nächste logische Schritt ist die Anbindung von AWS Security Hub, um normalisierte Findings (ASFF) zentral zu korrelieren. In der Praxis scheitert das aber oft nicht an AWS selbst, sondern an der Art, wie das hier weiterlesen

  • Wazuh & MISP: Warum deine FIM-Alerts nicht „nachträglich“ angereichert werden können (und wie du es trotzdem löst)

    Im Thread wollte Logitech Flames folgendes erreichen: Ergebnis: Die Frage war: „Wie bekomme ich die MISP-Metadaten in denselben Alert wie Rule 100100?“ 1. Wichtiger Grundsatz: Wazuh-Alerts sind „fertig“, sobald sie geschrieben sind [Wazuh] Hossam bringt den Knackpunkt ziemlich klar auf den Punkt: Wazuh-Alerts sind praktisch unveränderlich.Wenn ein Alert einmal ausgelöst und indiziert ist, wird er hier weiterlesen

  • SCA-Ergebnisse in Wazuh Dashboards visualisieren: Windows Screen Saver Compliance korrekt abbilden

    EinleitungSecurity Configuration Assessment (SCA) ist eines der wirkungsvollsten Module in Wazuh, um Konfigurationsabweichungen auf Endpunkten frühzeitig zu erkennen. Gerade bei Windows-Systemen sind scheinbar einfache Einstellungen wie ein aktiver, passwortgeschützter Bildschirmschoner sicherheitsrelevant, da sie direkten Einfluss auf physische Zugriffsmöglichkeiten haben. In der Praxis entsteht jedoch häufig Verwirrung, wenn Administratoren versuchen, diese SCA-Ergebnisse in einem eigenen Wazuh-Dashboard hier weiterlesen

  • Wazuh Default-Regeln sicher tunen: Warum frequency/timeframe/ignore in 0016-wazuh_rules.xml scheitern – und wie du Rule 203/204 korrekt überschreibst

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) In produktiven Wazuh-Umgebungen ist „Alert Noise“ oft weniger ein Detection-Problem als ein Betriebsproblem: Zu viele legitime Ereignisse erzeugen Warnungen, SOC-Workflows werden überlastet und echte Incidents gehen unter. Gleichzeitig ist das Ruleset in Wazuh eng mit der Event-Pipeline (Agent → Manager → Queues → Analysis) verzahnt. Wer Default-Regeln direkt in den hier weiterlesen

  • OPNsense-WebGUI-Login-Logs korrekt dekodieren: Wenn der Solaris-Decoder dazwischenfunkt

    Einleitung Beim Einbinden neuer Logquellen in Wazuh stoßen Einsteiger wie erfahrene Administratoren gleichermaßen auf ein wiederkehrendes Problem: Ein vorhandener Standard-Decoder greift „zu früh“ und verhindert die saubere Analyse eines eigentlich ganz anderen Logformats. Besonders häufig tritt dies bei Syslog-basierten Quellen auf, deren program_name generisch ist. Ein typisches Beispiel sind OPNsense-WebGUI-Logs, die durch den integrierten solaris_bsm-Decoder hier weiterlesen

  • Wazuh E-Mail-Flut stoppen, ohne Detection zu verlieren: noalert vs. no_email_alert und saubere Rule-Änderungen für Frequency/Timeframe-Korrelation

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) E-Mail-Benachrichtigungen sind in Wazuh ein bewährtes Mittel, um kritische Ereignisse schnell sichtbar zu machen. In der Praxis kippt dieses Signal aber schnell in Lärm – insbesondere bei Korrelationsregeln mit frequency/timeframe, die bei Scan- oder Recon-Mustern viele Alerts erzeugen. Der typische Wunsch aus dem Betrieb lautet dann: „Regel soll weiter funktionieren, hier weiterlesen

  • Wazuh im Docker-Cluster horizontal skalieren: Warum der neue Worker keine Alerts liefert

    Viele starten mit der offiziellen Wazuh Docker Multi-Node Deployment:3× Indexer, 2× Manager, Dashboard, Nginx – alles auf einem Host.Früher oder später kommt dann die Frage: „Wie skaliere ich das Ganze horizontal auf einen zweiten Server und hänge dort einen weiteren Manager-Worker dran?“ Genau das hat der Nutzer im Thread versucht – mit einigen Stolpersteinen: Schauen hier weiterlesen

  • Wazuh Dashboard zeigt plötzlich keine neuen Logs mehr: Shard-Limit im Indexer als versteckte Ursache

    Einleitung Wenn im Wazuh Dashboard „von jetzt auf gleich“ keine neuen Events mehr erscheinen, wirkt das zunächst wie ein klassisches Pipeline-Problem: Filebeat, Indexer, Manager oder Dashboard „hängen“. In vielen Fällen laufen aber alle Services fehlerfrei, die Alerts liegen sogar weiterhin auf dem Manager vor – und trotzdem bleibt das Dashboard leer. Ein typischer Grund dafür hier weiterlesen

  • Warum der Wazuh-Agent keine Windows Certificate Store Zertifikate nutzen kann – und was das für deine Sicherheitsarchitektur bedeutet

    Wenn Unternehmen beginnen, Wazuh-Agenten per Zertifikat zu authentifizieren, kommt schnell eine naheliegende Frage auf: Kann der Wazuh-Agent Zertifikate aus dem Windows Certificate Store nutzen – z. B. aus „Local Machine → Personal“? Die intuitive Antwort wäre:„Natürlich – Windows verwaltet Zertifikate doch zentral, warum sollte Wazuh sie nicht einfach dort abholen?“ Die tatsächliche Antwort lautet jedoch: hier weiterlesen

  • OpenSearch-Mapping-Konflikte in Wazuh beheben: Netflow-Bytes aggregierbar machen und Visualisierungen retten

    Einleitung Wer Netzflussdaten (z. B. Netflow via Filebeat) in Wazuh nutzt, möchte früher oder später Bandbreite historisch auswerten: Bytes über Zeit, getrennt nach „intern → extern“ und „extern → intern“. In der Praxis scheitert das oft nicht an der Visualisierung selbst, sondern an Index-Mappings, Konflikten über Tagesindizes hinweg und „kaputten“ Saved Objects im Dashboard. Dieser hier weiterlesen

  • Synology-Logs in Wazuh: Warum deine Regeln erst mit den richtigen Decodern funktionieren

    Wer sein Synology NAS mit Wazuh überwacht, stolpert früher oder später über Community-Projekte wie dieses: GitHub: Tomo-9925 / wazuh-synology-dsm-decoder-and-rules– synology-rules.xml (Regeln)– synology-syslog.xml (Decoder) Genau das wollte auch ein User im Wazuh-Community-Channel einbinden – und bekam nur: XML syntax error Die Ursache war am Ende nicht „kaputte XML“, sondern die Reihenfolge & Vollständigkeit der Integration. 1. hier weiterlesen

  • Windows EventID 4624 gezielt filtern: Erfolgreiche RDP-Anmeldungen (LogonType 10) sauber mit Wazuh erfassen

    Einleitung Erfolgreiche Windows-Anmeldungen (EventID 4624) gehören zu den zentralen Telemetriedaten in Wazuh-Umgebungen. Gleichzeitig erzeugen sie ein enormes Datenvolumen, da nahezu jede lokale, Netzwerk- oder Dienstanmeldung dieses Event auslöst. Für viele Security- und SOC-Use-Cases sind jedoch nur bestimmte Anmeldearten relevant – insbesondere Remote Desktop (RDP), das über LogonType 10 abgebildet wird. Dieser Artikel zeigt, wie sich hier weiterlesen

  • TP-Link Access-Point-Logs in Wazuh dekodieren: Vom „archive.json“-Event zum sauberen Custom-Decoder

    Einleitung Netzwerkgeräte wie Access Points liefern häufig sehr hilfreiche Telemetrie: MAC-Adressen, Quell-/Ziel-IP, Protokoll und Ports. Für Security-Teams sind das ideale Datenpunkte, um laterale Bewegung, ungewöhnliche Verbindungen oder auffällige Client-Aktivität frühzeitig zu erkennen. Damit Wazuh diese Informationen regelbasiert auswerten kann, müssen die Rohlogs jedoch korrekt dekodiert werden. In der Praxis scheitert das oft daran, dass statt hier weiterlesen

  • Warum frisst mein Wazuh Indexer-Cluster mehr Speicher als die “Rohdaten-Rechnung” erwarten lässt?

    Ausgangslage: 3 Indexer-Nodes à ~1,7 TB (= ~5,1 TB). Ingestion ~100 GB/Tag ⇒ ~3 TB Rohdaten für 30 Tage. Trotzdem sind ~5,1 TB belegt. Das ist in OpenSearch/Wazuh nicht ungewöhnlich – weil (a) Replikation und Shards Daten vervielfachen und (b) der “Index auf Platte” deutlich mehr ist als der reine JSON-Logstrom. 1) Der häufigste Grund: hier weiterlesen

  • Auditd-Decoder in Wazuh erweitern: PROCTITLE korrekt extrahieren

    EinleitungAuditd-Logs gehören zu den wichtigsten Telemetriedaten für Sicherheits-Monitoring, Incident Response und forensische Analysen. Besonders in Linux-Umgebungen liefern sie reichhaltige Informationen zu Systemaufrufen, Ausführungsparametern und Prozessmetadaten. Eine Herausforderung in Wazuh ist dabei die Decodierung von PROCTITLE, dem Feld, das die vollständige Prozess-Commandline enthält. Dieser Artikel zeigt, wie Sie Ihre auditd-Decoder in Wazuh so erweitern, dass PROCTITLE hier weiterlesen

  • Wazuh Vulnerability Detection auf Debian 12/13: Warum „tausende CVEs“ erscheinen, wie man echte Findings von False Positives trennt und was bei Debian-Versionen wirklich verglichen wird

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Vulnerability Detection ist in Wazuh ein zentrales Hygiene- und Exposure-Signal: Es korreliert die Software-Inventardaten der Agents mit Vulnerability-Intelligence und macht Schwachstellen im Dashboard und via Alerts sichtbar. Gerade auf Debian 12/13 sorgt dieses Feature aber immer wieder für Frust, wenn nach einer frischen Installation scheinbar „Hunderte bis Tausende“ CVEs auftauchen, hier weiterlesen

  • Wazuh: Windows-Noise rausfiltern – saubere Suppression für normale Logons

    Wer mit Windows-Events in Wazuh arbeitet, landet früher oder später hier:Die Konsole ist voll mit ganz normalen, technischen Logons, vor allem Event ID 4624 (Logon Success) – z. B. Service-Logons über services.exe.Kein Angriff, kein Risiko – aber jede Menge Lärm. Genau das wollte Kashif in seinem Test-Setup lösen:„Wie unterdrücke ich nur diese Routine-Logons, ohne andere hier weiterlesen

  • BitLocker WARNING/INFO verschwinden in Wazuh: Warum Events im archives.log landen, aber nicht im Index – und wie Regeln für 60009–60012 korrekt bauen

    Einleitung Windows BitLocker ist in vielen Umgebungen ein Sicherheitsanker – gerade deshalb sind Events wie „BitLocker was suspended“ operativ relevant: Sie können auf Wartungsfenster, policy-gesteuerte Änderungen oder auch auf ein Risiko (Schutz temporär deaktiviert) hinweisen. Wenn solche Ereignisse in Wazuh zwar in archives.log auftauchen, aber im Dashboard nicht sichtbar sind und Custom Rules nur bei hier weiterlesen

  • Integration von Cloudflare-Logs in Wazuh: Ansätze, technische Umsetzung und Best Practices

    Einleitung Cloudflare stellt umfangreiche Logs zu Web-Anfragen, Firewall-Events und Audit-Daten bereit, die für Sicherheits- und Vorfallanalysen in modernen SIEM-Umgebungen essenziell sind. Wazuh als Open-Source-SIEM/EDR-Plattform kann diese Daten nicht „out-of-the-box“ direkt aus Cloudflare empfangen, bietet aber flexible Mechanismen zur Ingestion über Cloud-Storage-Ziele oder API-basierte Lösungen. Dieser Beitrag zeigt die verschiedenen technischen Pfade, Voraussetzungen und praktische Implementierungsschritte hier weiterlesen

  • Wenn Wazuh-Templates gegen Composable Templates verlieren – und warum ChatGPT hier (fast) alles kaputtgemacht hätte

    Kevin stand vor einer typischen, aber extrem nervigen OpenSearch/Wazuh-Fehlermeldung. Beim Aggregieren nach manager.name kam vom Wazuh-Indexer: Kurz gesagt: Du willst ein Textfeld aggregieren, das als text gemappt ist, nicht als keyword. Im Wazuh-Kontext ist das ungewöhnlich – denn manager.name ist in der Standard-Template eigentlich schon als keyword definiert. Also: Was lief hier schief? Was die hier weiterlesen