Slack

Wir verfolgen den internen Wazuh Slack-Channel aufmerksam und bereiten besonders interessante Diskussionen mithilfe von KI als Blogbeiträge auf. Da Slack-Unterhaltungen nach 90 Tagen automatisch gelöscht werden, sichern wir so wertvolles Wissen langfristig und machen es für alle jederzeit zugänglich.

  • Wazuh Vulnerability Detection auf Debian 12/13: Warum „tausende CVEs“ erscheinen, wie man echte Findings von False Positives trennt und was bei Debian-Versionen wirklich verglichen wird

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Vulnerability Detection ist in Wazuh ein zentrales Hygiene- und Exposure-Signal: Es korreliert die Software-Inventardaten der Agents mit Vulnerability-Intelligence und macht Schwachstellen im Dashboard und via Alerts sichtbar. Gerade auf Debian 12/13 sorgt dieses Feature aber immer wieder für Frust, wenn nach einer frischen Installation scheinbar „Hunderte bis Tausende“ CVEs auftauchen, hier weiterlesen

  • Wazuh: Windows-Noise rausfiltern – saubere Suppression für normale Logons

    Wer mit Windows-Events in Wazuh arbeitet, landet früher oder später hier:Die Konsole ist voll mit ganz normalen, technischen Logons, vor allem Event ID 4624 (Logon Success) – z. B. Service-Logons über services.exe.Kein Angriff, kein Risiko – aber jede Menge Lärm. Genau das wollte Kashif in seinem Test-Setup lösen:„Wie unterdrücke ich nur diese Routine-Logons, ohne andere hier weiterlesen

  • BitLocker WARNING/INFO verschwinden in Wazuh: Warum Events im archives.log landen, aber nicht im Index – und wie Regeln für 60009–60012 korrekt bauen

    Einleitung Windows BitLocker ist in vielen Umgebungen ein Sicherheitsanker – gerade deshalb sind Events wie „BitLocker was suspended“ operativ relevant: Sie können auf Wartungsfenster, policy-gesteuerte Änderungen oder auch auf ein Risiko (Schutz temporär deaktiviert) hinweisen. Wenn solche Ereignisse in Wazuh zwar in archives.log auftauchen, aber im Dashboard nicht sichtbar sind und Custom Rules nur bei hier weiterlesen

  • Integration von Cloudflare-Logs in Wazuh: Ansätze, technische Umsetzung und Best Practices

    Einleitung Cloudflare stellt umfangreiche Logs zu Web-Anfragen, Firewall-Events und Audit-Daten bereit, die für Sicherheits- und Vorfallanalysen in modernen SIEM-Umgebungen essenziell sind. Wazuh als Open-Source-SIEM/EDR-Plattform kann diese Daten nicht „out-of-the-box“ direkt aus Cloudflare empfangen, bietet aber flexible Mechanismen zur Ingestion über Cloud-Storage-Ziele oder API-basierte Lösungen. Dieser Beitrag zeigt die verschiedenen technischen Pfade, Voraussetzungen und praktische Implementierungsschritte hier weiterlesen

  • Wenn Wazuh-Templates gegen Composable Templates verlieren – und warum ChatGPT hier (fast) alles kaputtgemacht hätte

    Kevin stand vor einer typischen, aber extrem nervigen OpenSearch/Wazuh-Fehlermeldung. Beim Aggregieren nach manager.name kam vom Wazuh-Indexer: Kurz gesagt: Du willst ein Textfeld aggregieren, das als text gemappt ist, nicht als keyword. Im Wazuh-Kontext ist das ungewöhnlich – denn manager.name ist in der Standard-Template eigentlich schon als keyword definiert. Also: Was lief hier schief? Was die hier weiterlesen

  • Wazuh Composite Rules richtig einsetzen: Warum 5× Regel 120000 in 1h nicht triggert – und welche Alternativen zuverlässig funktionieren

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Zeitbasierte Korrelation gehört zu den häufigsten Anforderungen in SIEM- und HIDS-Umgebungen: Mehrere fehlgeschlagene VPN-Logins sollen zunächst als Verdachtsmoment erkannt und bei wiederholtem Auftreten zu einem höher priorisierten Alarm eskaliert werden. In Wazuh wird das oft mit frequency/timeframe und „Composite Rules“ (if_matched_sid) umgesetzt. In der Praxis scheitert genau diese Eskalationslogik jedoch hier weiterlesen

  • Wazuh-Cluster und Master-Rolle: Warum ein Role-Switch nicht möglich ist und wie man Ausfälle korrekt behandelt

    Einleitung Hochverfügbarkeit ist ein zentrales Thema beim Betrieb von SIEM- und Security-Monitoring-Plattformen. In Wazuh-Umgebungen wird dieses Ziel häufig über den Einsatz eines Clusters aus Master- und Worker-Nodes verfolgt. Dabei taucht regelmäßig die Frage auf, ob sich die Master-Rolle nachträglich oder im Fehlerfall dynamisch auf einen Worker verschieben lässt. Die kurze Antwort lautet: nein. Die längere hier weiterlesen

  • CDB-Listen in Wazuh 4.14.1 richtig einsetzen: Warum match_key_value bei IPs scheitert und Datenanreicherung nicht möglich ist

    Einleitung CDB-Listen sind ein zentrales Werkzeug in Wazuh, um große Mengen an Indikatoren wie IPs, Domains oder Hashes performant gegen eingehende Events zu prüfen. Gerade im Kontext von Threat Intelligence und IOC-Matching entsteht jedoch häufig die Erwartung, dass CDB-Listen nicht nur zur Erkennung, sondern auch zur Datenanreicherung genutzt werden können – etwa um eine Beschreibung hier weiterlesen

  • Wazuh Dashboard verliert Verbindung zum Indexer nach manueller Index-Löschung: Ursachen, Security-Reinit und saubere Recovery

    Einleitung Wazuh-Umgebungen stehen und fallen mit einem konsistenten Wazuh Indexer (OpenSearch). Sobald Indexdaten “auf Dateisystemebene” manuell entfernt werden, kann das zwar kurzfristig Speicherplatz schaffen, aber auch Cluster-Metadaten, Shard-Zuordnungen und sicherheitsrelevante Systemindizes beschädigen. Die Folge reicht von roten Clusterzuständen bis hin zu nicht initialisierter OpenSearch-Security – und damit zu einem nicht mehr erreichbaren Wazuh Dashboard. Ausgangslage hier weiterlesen

  • Passwortänderungen in Wazuh auf Kubernetes: Fallstricke, Reihenfolge und Best Practices

    Einleitung Der Betrieb von Wazuh auf Kubernetes bringt viele Vorteile in Bezug auf Skalierbarkeit und Automatisierung – erhöht aber gleichzeitig die Komplexität bei sicherheitsrelevanten Änderungen. Besonders deutlich wird dies beim Ändern von Benutzerpasswörtern für Indexer- und API-Komponenten. Ein scheinbar einfacher Vorgang kann schnell zu Authentifizierungsfehlern oder nicht mehr erreichbaren Services führen, wenn die Abhängigkeiten zwischen hier weiterlesen

  • Wazuh Custom Rules & Time-Based Detection: Warum die Syntax oft scheitert — und wie du es richtig machst

    Daniel meldete ein Problem, das viele Wazuh-Nutzer kennen:Beim Upload einer Custom Rule über das Dashboard erscheint nur: Selbst wenn die Regel eigentlich harmlos aussieht. In diesem Beitrag zeige ich: Problem 1: Fehlerhafte Syntax bei Frequenz-Regeln Die erste Regel des Users: Was war falsch? Fehler 1 — if_sid falsch eingesetzt if_sid ist für eine einfache Regellogik.Für hier weiterlesen

  • PostgreSQL-Auth-Fehler in Wazuh sauber dekodieren und als Rule alerten: Decoder-Design, Feldextraktion und Rule-Chaining

    Einleitung Fehlgeschlagene Datenbank-Authentifizierungen gehören zu den wichtigsten Signalen in einem SIEM: Sie sind häufiges Symptom für Credential-Stuffing, Brute-Force-Versuche, Fehlkonfigurationen oder ausgerollte Systeme ohne korrekt gesetzte Secrets. Damit Wazuh solche Ereignisse zuverlässig erkennt, braucht es zwei Bausteine: einen Decoder, der die relevanten Felder aus dem Log extrahiert (z. B. den betroffenen PostgreSQL-User), und passende Rules, die hier weiterlesen

  • Wazuh Indexer „Circuit Breaking Exception“: Warum dein Cluster plötzlich stehenbleibt – und wie du es sauber behebst

    Suresh und Bhanu meldeten ein Problem, das in vielen produktiven Wazuh-Installationen auftaucht:Plötzlich ist das Dashboard nicht erreichbar, Queries schlagen fehl – und der Wazuh-Indexer meldet: Ein klassischer Fall von: Zu wenig Heap – zu viel Arbeit für den Indexer OpenSearch (bzw. der Wazuh-Indexer) schützt sich selbst vor Out-of-Memory-Situationen. Wenn eine Operation (z. B. eine Suche, hier weiterlesen

  • Wazuh Migration & Wiederherstellung

    RBAC, Rollen, User und Agent-Gruppen korrekt sichern und wiederherstellen Einleitung Nach einer Neuinstallation oder Migration eines Wazuh-Clusters stellt sich häufig heraus, dass zwar Agenten, Indizes und Logs wieder vorhanden sind – aber sicherheitsrelevante Metadaten fehlen. Dazu zählen insbesondere: Dieser Artikel erklärt wo diese Informationen gespeichert sind, wie sie korrekt gesichert werden und welche Restore-Strategien zukunftssicher hier weiterlesen

  • Azure-Logs in Wazuh: Warum das Wodle in Wellen arbeitet – und wie du Spikes, Flooding & Index-Hygiene in den Griff bekommst

    Tim hat in der Wazuh-Community ein klassisches Szenario geschildert: Dazu kamen zwei zentrale Fragen: Schauen wir uns an, was im Thread herausgearbeitet wurde – und was du davon in deinem eigenen Setup nutzen kannst. 1. Setup: Azure Storage + azure-logs Wodle Tim nutzt das azure-logs Wodle in der Storage-Variante (nicht Log Analytics): Wichtige Punkte: Er hier weiterlesen

  • Custom Fortigate-Decoders und -Rules nach Linux-Migration in Wazuh: „Permission denied“ sauber beheben und Updatesicher deployen

    Einleitung Bei einer Migration des Wazuh-Servers (z. B. von CentOS 8 auf Rocky Linux) sind Custom Decoders und Rules oft der Teil, der am schnellsten „still“ kaputtgeht: Die Dateien sind zwar kopiert, aber Wazuh lädt sie nicht – und im Dashboard erscheinen kryptische Meldungen wie „No decoder was returned (1502)“ oder „No rule was returned hier weiterlesen

  • SFTP-Logs mit Wazuh decodieren: Vom Regex-Monster zur eleganten Ein-Zeilen-Lösung

    Costantino wollte SFTP-Transfers auf einem Linux-Server sauber in Wazuh auswerten.Die Logs sehen in etwa so aus: Mit anderen Worten: Costantino wollte daraus u. a. folgende Felder holen: Sein erster Ansatz: sehr komplexe Regexe mit Timestamp am Anfang und jede Menge Child-Decoder. Ergebnis: Logs wurden nicht oder nur teilweise korrekt decodiert. Schauen wir uns an, warum hier weiterlesen

  • Wazuh-Agenten plötzlich offline: Wie eine fehlerhafte Syslog-Konfiguration die gesamte Agent-Kommunikation lahmlegt

    Einleitung Stabile Agent-Konnektivität ist die Grundlage jeder Wazuh-Installation. Wenn plötzlich alle Agenten im Dashboard als „disconnected“ erscheinen, obwohl Systeme laufen und Benutzer aktiv sind, deutet dies meist auf ein zentrales Konfigurations- oder Kommunikationsproblem hin. Besonders kritisch wird es, wenn mehrere Funktionen – etwa Agent-Kommunikation und Syslog-Empfang – auf derselben Schnittstelle konfiguriert werden. Dieser Beitrag analysiert hier weiterlesen

  • Wazuh High Availability ohne Load-Balancing: Was wirklich möglich ist bei Indexer, Manager und Dashboard

    Einleitung High Availability (HA) in SIEM- und XDR-Umgebungen wird oft mit “mehr Knoten” gleichgesetzt. In der Praxis unterscheiden sich jedoch Datenebene, Kontroll-/Konfigurationsebene und UI-Schicht deutlich darin, wie (und ob) sie sich hochverfügbar betreiben lassen. In Wazuh ist das besonders relevant, weil der Wazuh Manager (Server) neben Event-Ingestion auch zentrale Steuerfunktionen übernimmt, während der Wazuh Indexer hier weiterlesen

  • CrowdStrike-Logs in Wazuh: Wenn Alerts im Archiv sichtbar sind, aber wegen full_log nie im Index landen

    Mah Wen Qiang wollte CrowdStrike-Logs sauber in Wazuh integrieren: „Crowdstrike alert – User authentication success – UserId: …“ Im archives.json ist das Event da – mit sauberem JSON-Decoder und data.metadata / data.event Feldern. Aber:Im Wazuh „Discover“/„Kibana“/„OpenSearch Dashboards“ taucht der Alert nicht auf.Gleichzeitig meldet Filebeat: mapper_parsing_exception … failed to parse field [full_log] of type [text] Später hier weiterlesen