Slack

Einleitung Hochverfügbarkeit ist ein zentrales Thema beim Betrieb von SIEM- und Security-Monitoring-Plattformen. In Wazuh-Umgebungen wird dieses Ziel häufig über den Einsatz eines Clusters aus Master- und Worker-Nodes verfolgt. Dabei taucht regelmäßig die Frage auf, ob sich die Master-Rolle nachträglich oder im Fehlerfall dynamisch auf einen Worker verschieben lässt. Die kurze Antwort lautet: nein. Die längere hier weiterlesen

Einleitung CDB-Listen sind ein zentrales Werkzeug in Wazuh, um große Mengen an Indikatoren wie IPs, Domains oder Hashes performant gegen eingehende Events zu prüfen. Gerade im Kontext von Threat Intelligence und IOC-Matching entsteht jedoch häufig die Erwartung, dass CDB-Listen nicht nur zur Erkennung, sondern auch zur Datenanreicherung genutzt werden können – etwa um eine Beschreibung hier weiterlesen

Einleitung Der Betrieb von Wazuh auf Kubernetes bringt viele Vorteile in Bezug auf Skalierbarkeit und Automatisierung – erhöht aber gleichzeitig die Komplexität bei sicherheitsrelevanten Änderungen. Besonders deutlich wird dies beim Ändern von Benutzerpasswörtern für Indexer- und API-Komponenten. Ein scheinbar einfacher Vorgang kann schnell zu Authentifizierungsfehlern oder nicht mehr erreichbaren Services führen, wenn die Abhängigkeiten zwischen hier weiterlesen

Daniel meldete ein Problem, das viele Wazuh-Nutzer kennen:Beim Upload einer Custom Rule über das Dashboard erscheint nur: Selbst wenn die Regel eigentlich harmlos aussieht. In diesem Beitrag zeige ich: Problem 1: Fehlerhafte Syntax bei Frequenz-Regeln Die erste Regel des Users: Was war falsch? Fehler 1 — if_sid falsch eingesetzt if_sid ist für eine einfache Regellogik.Für hier weiterlesen

Einleitung Fehlgeschlagene Datenbank-Authentifizierungen gehören zu den wichtigsten Signalen in einem SIEM: Sie sind häufiges Symptom für Credential-Stuffing, Brute-Force-Versuche, Fehlkonfigurationen oder ausgerollte Systeme ohne korrekt gesetzte Secrets. Damit Wazuh solche Ereignisse zuverlässig erkennt, braucht es zwei Bausteine: einen Decoder, der die relevanten Felder aus dem Log extrahiert (z. B. den betroffenen PostgreSQL-User), und passende Rules, die hier weiterlesen

Tim hat in der Wazuh-Community ein klassisches Szenario geschildert: Dazu kamen zwei zentrale Fragen: Schauen wir uns an, was im Thread herausgearbeitet wurde – und was du davon in deinem eigenen Setup nutzen kannst. 1. Setup: Azure Storage + azure-logs Wodle Tim nutzt das azure-logs Wodle in der Storage-Variante (nicht Log Analytics): Wichtige Punkte: Er hier weiterlesen

Einleitung Bei einer Migration des Wazuh-Servers (z. B. von CentOS 8 auf Rocky Linux) sind Custom Decoders und Rules oft der Teil, der am schnellsten „still“ kaputtgeht: Die Dateien sind zwar kopiert, aber Wazuh lädt sie nicht – und im Dashboard erscheinen kryptische Meldungen wie „No decoder was returned (1502)“ oder „No rule was returned hier weiterlesen

Costantino wollte SFTP-Transfers auf einem Linux-Server sauber in Wazuh auswerten.Die Logs sehen in etwa so aus: Mit anderen Worten: Costantino wollte daraus u. a. folgende Felder holen: Sein erster Ansatz: sehr komplexe Regexe mit Timestamp am Anfang und jede Menge Child-Decoder. Ergebnis: Logs wurden nicht oder nur teilweise korrekt decodiert. Schauen wir uns an, warum hier weiterlesen

Einleitung Stabile Agent-Konnektivität ist die Grundlage jeder Wazuh-Installation. Wenn plötzlich alle Agenten im Dashboard als „disconnected“ erscheinen, obwohl Systeme laufen und Benutzer aktiv sind, deutet dies meist auf ein zentrales Konfigurations- oder Kommunikationsproblem hin. Besonders kritisch wird es, wenn mehrere Funktionen – etwa Agent-Kommunikation und Syslog-Empfang – auf derselben Schnittstelle konfiguriert werden. Dieser Beitrag analysiert hier weiterlesen

Mah Wen Qiang wollte CrowdStrike-Logs sauber in Wazuh integrieren: „Crowdstrike alert – User authentication success – UserId: …“ Im archives.json ist das Event da – mit sauberem JSON-Decoder und data.metadata / data.event Feldern. Aber:Im Wazuh „Discover“/„Kibana“/„OpenSearch Dashboards“ taucht der Alert nicht auf.Gleichzeitig meldet Filebeat: mapper_parsing_exception … failed to parse field [full_log] of type [text] Später hier weiterlesen

Einleitung Wenn das Wazuh Dashboard zwar lädt, aber bei API-Aufrufen mit [WazuhError]: API error: ERR_BAD_RESPONSE – Error connecting with socket: Socket ‚auth‘ cannot receive connections abbricht, ist die Lage oft trügerisch: Der Wazuh API-Port (55000) kann erreichbar sein, während intern eine Manager-Komponente nicht verfügbar ist. Gerade bei Single-Node-Installationen führt das schnell zu einer Situation, in hier weiterlesen

Use Case:Ein Community-Mitglied wollte neben den SentinelOne Threat Alerts auch Activity Alerts per API in Wazuh integrieren – basierend auf dem offiziellen Wazuh-Blog zur SentinelOne-Integration. Die Logs wurden korrekt abgeholt und in separate JSON-Dateien geschrieben, dennoch wurden Activity Alerts weder im Dashboard angezeigt noch durch Custom Rules erkannt. Ausgangslage Setup Symptome Root Cause 1: Indexing- hier weiterlesen

Ausgangssituation In großen Wazuh-Umgebungen (hier: >6.000 Agents) ist es Best Practice, den Master-Node möglichst schlank zu halten und primär für Agent-Registrierungen (Port 1515) sowie Cluster-Koordination zu nutzen. Der Nutzer hatte bereits erfolgreich: 👉 Die einzige offene Frage:Wie kann verhindert werden, dass der Master-Node vom HAProxy Helper automatisch als Backend für Agent-Traffic (Port 1514) verwendet wird? hier weiterlesen

Windows PowerShell- oder Security-Events aus dem Microsoft-Windows-PowerShell/Operational Channel verhalten sich in Wazuh auf den ersten Blick merkwürdig: Warum ist das so? Die Antwort steckt tief in der Architektur von Wazuh. Dieser Artikel erklärt: 1. Warum du den Decoder „windows_eventchannel“ nicht findest Wazuh unterscheidet zwischen: Der Windows EventChannel-Decoder gehört zur zweiten Kategorie. Jakub Pacowski erklärt es hier weiterlesen