Slack

Einleitung Die Kombination aus Wazuh File Integrity Monitoring und YARA ist ein wirksames Muster, um neu erstellte oder veränderte Dateien direkt auf Endpoints zu prüfen. Besonders Download-Verzeichnisse von Browsern sind sicherheitsrelevant, weil dort ausführbare Dateien, Archive, Office-Dokumente oder PDFs landen können, bevor sie durch weitere Prozesse geöffnet oder verteilt werden. Ausgangslage / Problemstellung In der… hier weiterlesen

Einleitung pfSense-Firewall-Logs sind eine wertvolle Datenquelle für Wazuh, insbesondere für die Erkennung blockierter Verbindungen, Portscans, lateral movement und unerwünschter Remote-Zugriffe. In der Praxis scheitert die Verarbeitung jedoch manchmal schon vor dem eigentlichen Decoder: Wenn pfSense-Logs im BSD-Syslog-Format ohne Hostnamen gesendet werden, verschiebt sich die Vorverarbeitung in Wazuh. Ausgangslage / Problemstellung Ein Wazuh Manager empfängt pfSense-Logs… hier weiterlesen

Einleitung Custom Branding im Wazuh Dashboard ist ein häufiger Wunsch in produktiven SIEM-Umgebungen. Eigene Logos, Titel und Ladebilder verbessern die Wiedererkennbarkeit der Plattform. Wenn Branding über die IP-Adresse korrekt angezeigt wird, über den DNS-Namen aber Standardlogos oder leere Platzhalter erscheinen, liegt die Ursache meist nicht im Branding selbst, sondern in URL-Auflösung, Routing oder statischer Dateiauslieferung.… hier weiterlesen

Einleitung UniFi kann System- und Sicherheitsereignisse im Common Event Format an ein SIEM senden. In Wazuh lassen sich diese CEF-Logs mit Custom Decodern und Regeln auswerten, um beispielsweise VPN-Verbindungen, Admin-Logins oder Konfigurationsänderungen sichtbar zu machen. Häufig funktioniert dabei zunächst das Decoding, während die darauf aufbauenden Regeln nicht auslösen. Die Ursache liegt meist in einer Abweichung… hier weiterlesen

Einleitung Die AWS-Integration von Wazuh liest CloudTrail-Logs aus einem S3-Bucket, verarbeitet sie über das AWS-Modul und erzeugt daraus Events für die Wazuh-Indizes. Wenn der Bucket erreichbar ist, im Dashboard aber keine CloudTrail-Daten erscheinen, liegt das Problem häufig nicht am Dashboard selbst, sondern an der vorgelagerten Erfassung: Wazuh findet keine neuen oder korrekt adressierbaren Logobjekte im… hier weiterlesen

Einleitung In Kubernetes-Umgebungen können Wazuh-Agenten sehr schnell große Mengen an Container- und Applikationslogs erfassen. Werden diese ungefiltert an den Wazuh Manager weitergeleitet, steigt die Last auf wazuh-analysisd, da Parsing, Decoding und Rule-Matching zentral auf Manager-Seite stattfinden. Besonders bei vielen Microservices führt Log-Noise daher nicht nur zu unnötigen Events, sondern auch zu messbaren Performance-Problemen. Ausgangslage /… hier weiterlesen

Einleitung Wireless-Infrastruktur erzeugt sicherheitsrelevante Logs zu Access Points, WLANs, Authentifizierungen, Client-Verbindungen und VLAN-Zuordnungen. Für Security Monitoring mit Wazuh sind diese Daten besonders wertvoll, weil sie Hinweise auf neue Clients, fehlgeschlagene Authentifizierungen, verdächtige SSIDs oder ungewöhnliche Client-IP-Zuweisungen liefern können. Bei Ruckus-Logs zeigt sich jedoch schnell: Nicht jedes Logformat lässt sich mit einem einzigen Decoder sauber abdecken.… hier weiterlesen

Einleitung Die Analyse von Sysmon-Logs gehört zu den zentralen Bausteinen moderner Endpoint Detection und SIEM-Strategien. Besonders interessant ist dabei Event ID 1 (Process Creation), da hier häufig CommandLines mit potenziell schädlichen Verbindungen oder Indicators of Compromise (IoCs) enthalten sind. Der Wunsch, IP-Adressen direkt aus diesen Feldern zu extrahieren und in Wazuh weiterzuverarbeiten, ist daher naheliegend… hier weiterlesen

Einleitung Bei der Integration von AWS CloudTrail in Wazuh erwarten viele Administratoren, dass jedes CloudTrail-Ereignis automatisch als Alert im Wazuh Dashboard erscheint. In der Praxis ist das nicht immer der Fall. Wazuh verarbeitet CloudTrail-Logs zwar aus S3, aber die Standardregeln entscheiden, welche Events tatsächlich als Alerts erzeugt und indexiert werden. Ausgangslage / Problemstellung Nach der… hier weiterlesen

Einleitung Scan-Tools erzeugen häufig umfangreiche JSON-Dateien mit Metadaten, Assets, Findings, DNS-Daten, HTTP-Ergebnissen oder Geolocation-Informationen. Für Wazuh ist dabei nicht nur entscheidend, ob die Daten syntaktisch korrektes JSON sind, sondern auch, wie sie strukturiert sind. Ein einzelnes großes JSON-Objekt mit verschachtelten Arrays ist für die Logverarbeitung deutlich schlechter geeignet als einzelne, zeilenbasierte Events. Ausgangslage / Problemstellung… hier weiterlesen

Einleitung Sysmon-basierte Detection Rules in Wazuh liefern wertvolle Telemetrie für sicherheitsrelevante Dateioperationen. Gleichzeitig erzeugen sie in der Praxis häufig False Positives, insbesondere bei legitimen Betriebssystemmechanismen. Ein klassisches Beispiel ist PowerShells Execution Policy Test, bei dem temporäre Dateien im Benutzer-Temp-Verzeichnis erstellt werden. Ohne gezielte Filterung führen diese Events zu unnötigem Alert-Noise auf hohem Severity-Level. Ausgangslage /… hier weiterlesen

Einleitung In modernen SIEM-Umgebungen ist die Verarbeitung strukturierter Logs essenziell. Wazuh setzt dabei stark auf JSON-basierte Events, die über Decoder, Filebeat und den Wazuh Indexer verarbeitet werden. Ein häufiges Problem tritt auf, wenn sich die Datenstruktur eines Feldes ändert – etwa wenn ein Feld einmal als String und ein anderes Mal als Objekt geliefert wird.… hier weiterlesen

Einleitung Die Meldung agent buffer is full at 90% ist ein wichtiger Hinweis auf Event-Stau zwischen Wazuh Agent und Wazuh Manager. Für SIEM- und Security-Teams ist das relevant, weil ein dauerhaft gefüllter Agent-Buffer nicht nur Rauschen signalisiert, sondern im weiteren Verlauf zu verworfenen Events und damit zu Sichtbarkeitsverlust führen kann. Ausgangslage / Problemstellung Ein einzelner… hier weiterlesen

Einleitung Die E-Mail-Benachrichtigung in Wazuh wirkt auf den ersten Blick einfach: globale SMTP-Einstellungen definieren, Alert-Level festlegen und bei Bedarf mit <email_alerts> gezielt einzelne Regeln oder Gruppen auswählen. In der Praxis führt genau diese Kombination jedoch regelmäßig zu Missverständnissen. Besonders häufig ist die Annahme, dass ein <email_alerts>-Block mit einer bestimmten rule_id auch dann eine E-Mail auslösen… hier weiterlesen

Einleitung Die Überwachung offener Ports gehört zu den klassischen Sicherheitsmaßnahmen in Wazuh. Mit der integrierten Regel 533 („Listened ports status changed – netstat“) erkennt Wazuh zuverlässig Änderungen im Listening-Port-Status eines Systems. In der Praxis zeigt sich jedoch schnell ein Problem: Die Alerts enthalten komplette Snapshots der vorherigen und aktuellen Netstat-Ausgaben. Gerade auf Systemen mit vielen… hier weiterlesen

Einleitung In vielen Wazuh-Umgebungen ist die Standardarchitektur ausreichend: Alerts und bei Bedarf auch Archive-Events werden vom Wazuh-Server über Filebeat in den Wazuh Indexer geschrieben. In regulierten Umgebungen reicht dieses Modell jedoch oft nicht aus. Sobald Roh- oder Archivdaten aus Compliance-, Audit- oder Aufbewahrungsgründen getrennt gespeichert werden müssen, stellt sich die Frage nach einer belastbaren Trennung… hier weiterlesen

Einleitung Die File Integrity Monitoring (FIM)-Komponente von Wazuh, implementiert über syscheck, ist ein zentraler Bestandteil zur Erkennung von Dateiänderungen, Manipulationen und potenziellen Sicherheitsvorfällen. In größeren Umgebungen oder bei ungünstiger Konfiguration stößt diese Komponente jedoch schnell an systemseitige Grenzen. Eine häufige Meldung lautet: The maximum limit of files monitored has been reached. At this moment there… hier weiterlesen