Slack

Wir verfolgen den internen Wazuh Slack-Channel aufmerksam und bereiten besonders interessante Diskussionen mithilfe von KI als Blogbeiträge auf. Da Slack-Unterhaltungen nach 90 Tagen automatisch gelöscht werden, sichern wir so wertvolles Wissen langfristig und machen es für alle jederzeit zugänglich.

  • Syslog-Daten zuverlässig in Wazuh integrieren: Formate, Architektur und Best Practices

    Einleitung Viele Anwendungen und Appliances können Logs ausschließlich per Syslog oder HTTP ausliefern. In Wazuh-Umgebungen stellt sich daher regelmäßig die Frage, wie solche Daten zuverlässig, strukturiert und regelbasiert ausgewertet werden können. Obwohl Wazuh einen nativen Syslog-Empfang bietet, zeigen Community-Diskussionen und Best Practices, dass der Weg über dateibasierte Logsammlung häufig stabiler und flexibler ist. Dieser Artikel hier weiterlesen

  • Wazuh IT Hygiene im Dashboard leer – „No results match your search criteria“

    Einleitung Die IT Hygiene-Sektion im Wazuh Dashboard bietet eine zentrale Übersicht über Inventarisierungs- und Konfigurationsdaten (z. B. OS-Details, installierte Software, Prozesse, Netzwerk) aus allen überwachten Endpunkten. Diese Daten werden von den Syscollector-Modulen der Agenten gesammelt, in der Wazuh Indexer-Datenbank aggregiert und im Dashboard visualisiert. Wazuh Dokumentation Wenn in dieser Sektion jedoch nur „No results match hier weiterlesen

  • Wazuh 4.14: Warum deine local_rules.xml „nicht lädt“ – Sysmon Event ID 3 korrekt matchen, data.*-Feldfallen vermeiden und EventChannel-Logs richtig mit wazuh-logtest testen

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Windows Sysmon Event ID 3 („Network connection“) ist eine der wichtigsten Telemetriequellen für Threat Hunting, IOC-Matching und Threat-Intel-Enrichment (z. B. via OpenCTI). In Wazuh wirkt das auf den ersten Blick trivial: „Ich schreibe eine Rule auf EventID 3, dann bekomme ich Alerts.“ In der Praxis scheitert es aber häufig an hier weiterlesen

  • Wazuh Regelpriorität richtig steuern: Warum eine Catch-all-Regel „gewinnt“ – und wie du Mikrotik-Firewallregeln ohne Alert-Flut sauber kaskadierst

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Beim Bau eigener Wazuh-Regeln kommt es oft zu einem Missverständnis, das in SIEM-Setups schnell zu falschen Alarmen oder – schlimmer – zu verdeckten Erkennungsregeln führt: Rule-IDs steuern keine Priorität. Entscheidend sind die Matching-Logik, die Regelhierarchie und die Severity/Level-Semantik in Kombination mit der Alert-Schwelle des Managers. Dieser Beitrag zeigt anhand eines hier weiterlesen

  • Wazuh-UEBA-Regeln auf JSON-Integrationen: Warum Abhängigkeiten über mehrere Rule-Files oft „nicht triggern“

    Einleitung UEBA-Logik in Wazuh lebt davon, dass Basiserkennung, Klassifizierung und Korrelation sauber ineinandergreifen: erst wird ein Event zuverlässig erkannt (Parent Rule), dann kategorisiert (z. B. Severity/Incident Type), und erst darauf baut die eigentliche UEBA-Korrelation (Frequency/Timeframe/Same-field) auf. In der Praxis scheitert genau dieses Konstrukt jedoch häufig nicht an der Korrelation selbst, sondern an zwei unscheinbaren Basics: hier weiterlesen

  • Wazuh auf Kubernetes (EKS): Speicherwachstum bei Worker-Pods und periodische CPU-Spikes richtig einordnen und beheben

    EinleitungDer Betrieb von Wazuh in Kubernetes-Umgebungen wie AWS EKS bringt klare Vorteile bei Skalierung und Hochverfügbarkeit, legt aber auch Verhaltensweisen offen, die in klassischen VM-Deployments weniger auffallen. Zwei besonders kritische Symptome treten dabei immer wieder auf: stetig wachsender Speicherverbrauch von wazuh-manager-worker-Pods und exakt periodische CPU-Spikes, die ganze Nodes destabilisieren können. Dieser Artikel ordnet beide Effekte hier weiterlesen

  • Passwortwechsel in verteilten Wazuh-Deployments ohne Downtime: Warum das Dashboard „down“ geht und wie man es sauber wieder verbindet

    EinleitungPasswortrotation ist in produktiven SIEM-/XDR-Umgebungen Pflicht – aber in verteilten Wazuh-Deployments kann ein unvollständig durchgezogener Passwortwechsel schnell zum Totalausfall des Dashboards führen. Typisches Symptom: opensearch-dashboards wirft fortlaufend [ResponseError], während der Manager und der Indexer scheinbar „laufen“. Dieser Artikel erklärt die häufigsten Ursachen in der Wazuh-Architektur, warum wazuh-passwords-tool.sh auf dem Manager nur die Help-Page ausgibt oder hier weiterlesen

  • Wazuh zeigt Alerts in alerts.json, aber nicht im Dashboard: Filebeat-Indexing scheitert an Mapping-Konflikten durch JSON-Felder wie user und program

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Ein klassischer „SIEM-Albtraum“ im Wazuh-Betrieb: Ereignisse werden korrekt dekodiert, Regeln feuern, Alerts werden sauber nach alerts.json geschrieben – aber im Dashboard ist nichts zu sehen. In fast allen Fällen ist das kein UI-Problem, sondern ein Indexing-Problem: Filebeat versucht Alerts in den Wazuh Indexer zu schreiben, wird aber wegen Mapping-Konflikten (Field-Typen) hier weiterlesen

  • Software-Inventar-Änderungen und SCA-Deltas in Wazuh als Monatsreport: Baseline, Diff-Logik und E-Mail-Versand

    EinleitungSoftware-Inventar und Konfigurations-Compliance gehören zu den zuverlässigsten Indikatoren für Drift, Shadow-IT und potenziell riskante Veränderungen auf Endpoints. Wazuh bringt dafür zwei wichtige Bausteine mit: System Inventory (Syscollector) für installierte Pakete/Programme und Security Configuration Assessment (SCA) für Policy-basierte Checks. Die häufige Anforderung aus dem Betrieb: „Bitte monatlich per E-Mail eine Übersicht, welche Endpoints vom Baseline-Stand abweichen hier weiterlesen

  • Wazuh Vulnerability Detection: Lebenszyklus von CVEs zwischen State- und Alert-Indizes

    Einleitung Die Vulnerability Detection ist eine der zentralen Funktionen von Wazuh und wird in vielen Umgebungen als Grundlage für Compliance, Patch-Management und Threat Hunting genutzt. Gleichzeitig sorgt sie immer wieder für Rückfragen, insbesondere wenn es um das Zusammenspiel der verschiedenen Index-Typen geht. Eine häufige Unsicherheit betrifft den Umgang mit behobenen Schwachstellen: Bleiben CVEs im Index hier weiterlesen

  • Wazuh SSH-Decoder richtig priorisieren: Child-Decoder, Sibling-Decoders und eine saubere Lösung für Disconnected from authenticating user … [preauth]

    Einleitung SSH-Authentifizierungslogs sind eine zentrale Datenquelle für die Angriffserkennung in Wazuh. Gerade bei fehlgeschlagener Schlüssel-Authentifizierung („key-based auth required“) liefern sshd-Logs wichtige Hinweise auf Fehlkonfigurationen oder gezielte Angriffsversuche.Damit diese Ereignisse zuverlässig in Regeln verarbeitet werden können, ist eine korrekte Decoder-Strategie entscheidend – insbesondere bei lokalen Anpassungen. Dieser Artikel basiert auf einem realen Community-Fall und zeigt praxisnah, hier weiterlesen

  • Cisco IOS Login Success Logs in Wazuh korrekt parsen: Custom Decoder und Rule parallel zu den Standardregeln betreiben

    Einleitung Cisco-IOS-Syslog ist in vielen Netzwerken eine der wichtigsten Telemetriequellen für Zugriffskontrolle und Incident Response. Gerade erfolgreiche Logins sind für Security-Teams relevant (z. B. für Anomalieerkennung, Laterale Bewegung, Valid-Accounts-Missbrauch). Wazuh bringt zwar bereits Cisco-IOS-Decoder und Regeln mit – in der Praxis möchte man aber oft eigene Felder extrahieren und eigene Alerts erzeugen, ohne die Standardregeln hier weiterlesen

  • Wazuh SSO mit Microsoft Entra ID in Docker: Richtige Pfade, korrektes OpenSearch-Security config.yml und Fix für securityadmin.sh: Unable to read type from file

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Single Sign-on (SSO) über Microsoft Entra ID ist in vielen SIEM-Umgebungen ein Muss: zentrale Identitäten, MFA, kontrollierte Rollenvergabe und nachvollziehbare Zugriffe auf Dashboards. In Wazuh basiert SSO (SAML) im Kern auf der OpenSearch-Security-Konfiguration des Wazuh Indexers und erfordert ein sauberes Zusammenspiel aus YAML-Struktur, Dateipfaden und dem korrekten Einsatz von securityadmin.sh. hier weiterlesen

  • Forcepoint DLP CEF in Wazuh zuverlässig dekodieren: Warum „cat=…:“ Single-Regex bricht – und wie Sibling-Decoder es sauber lösen

    Einleitung Forcepoint DLP liefert für SIEM-Integrationen häufig CEF über Syslog. Auf dem Papier ist das ideal: ein standardisierter CEF-Header plus Extension als Key-Value-Paare. In der Praxis scheitert die Dekodierung in Wazuh aber oft genau dort, wo DLP-Events wertvoll werden: bei freien Textfeldern und Policy-/Kategorie-Namen mit Leerzeichen, Sonderzeichen oder Doppelpunkten. Das führt zu unvollständigen Feldern und hier weiterlesen

  • Wazuh Alert-Split-Routing: Index-Templates korrekt erweitern und Mapping-Konflikte vermeiden

    Einleitung In komplexeren Wazuh-Deployments ist es üblich, Alerts logisch zu trennen – etwa nach Kunden, Organisationseinheiten oder Sicherheitszonen. Technisch wird dies häufig über Ingest-Pipelines im Wazuh Indexer umgesetzt, die Alerts anhand von Metadaten in unterschiedliche Indizes routen.Ein zentrales, aber oft übersehenes Detail dabei sind die zugrunde liegenden Index-Templates. Werden diese nicht korrekt berücksichtigt, drohen Mapping-Konflikte, hier weiterlesen

  • Kaspersky Security Center CEF in Wazuh sauber dekodieren: Custom Decoder für vollständige Felder statt „nur 3 Werte“

    Einleitung CEF (Common Event Format) ist in vielen SIEM-Pipelines der „kleinste gemeinsame Nenner“ für Security-Telemetrie. In der Praxis stolpern Wazuh-Administratoren aber regelmäßig darüber, dass CEF-Events aus Kaspersky Security Center (KSC) nur teilweise geparst werden: Statt Header + Extension-Key/Value-Paare landen nur wenige Felder im Event. Das ist nicht nur lästig, sondern reduziert direkt den Detection- und hier weiterlesen

  • Citrix ADC Logs werden vom (NetScaler-)Decoder „geschluckt“: Custom Decoder sauber bauen und Default-Matching verhindern

    In der Praxis landen Citrix ADC (ehem. NetScaler) Syslog-Zeilen oft in einem Format, das stark an klassische ns.log-/Syslog-Ausgaben erinnert (z. B. 0-PPE-0 : TCP CONN_TERMINATE …). Dieses Muster matcht schnell auf generische/Default-Decoder (z. B. netscaler), sodass eigene Felder nicht wie gewünscht extrahiert werden oder „falsch“ interpretiert wirken. Ein typisches Citrix-Beispiel sieht u. a. so aus: hier weiterlesen

  • CVE-2024-56180 in Wazuh: Warum eine Apache-EventMesh-Schwachstelle als Kernel-Vulnerability auf Ubuntu erscheint

    Einleitung Vulnerability Detection ist nur dann wirklich hilfreich, wenn Findings korrekt eingeordnet werden können. Gerade bei CVEs mit hohem Schweregrad führt eine falsche oder missverständliche Zuordnung schnell zu Verunsicherung – insbesondere in Audits oder Compliance-Prüfungen. Ein aktuelles Beispiel ist CVE-2024-56180, das in Wazuh auf Ubuntu 24.04 LTS als kritisch gemeldet wird, obwohl das betroffene Produkt hier weiterlesen

  • Sophos Firewall (SFW) Logs in Wazuh

    Warum „DoS Attack / Denied“ korrekt decodiert wird – und trotzdem nicht immer sichtbar ist Einleitung Sophos-Firewall-Logs (SFW / XG / XGS) gehören zu den umfangreichsten und komplexesten Firewall-Logs überhaupt.Besonders Felder wie: sorgen häufig für Verwirrung, wenn sie nicht wie erwartet im wazuh-logtest oder Dashboard erscheinen, obwohl Decoder vorhanden sind. Dieser Artikel erklärt: 1. Beispiel: hier weiterlesen

  • Wazuh RBAC: Fehler bei benutzerdefinierten Dashboards und fehlenden Index-Rechten sauber beheben

    Einleitung Role-Based Access Control (RBAC) ist in Wazuh essenziell, um Mandantentrennung, Least-Privilege-Prinzip und organisatorische Zuständigkeiten sauber abzubilden. Besonders in Umgebungen mit mehreren Teams oder Kunden wird häufig ein separates Dashboard mit eingeschränkten Rechten benötigt – etwa für das Lesen und Verwalten bestimmter Agent-Gruppen. In der Praxis treten dabei jedoch regelmäßig Fehler auf, die auf unvollständige hier weiterlesen