Slack

Wir verfolgen den internen Wazuh Slack-Channel aufmerksam und bereiten besonders interessante Diskussionen mithilfe von KI als Blogbeiträge auf. Da Slack-Unterhaltungen nach 90 Tagen automatisch gelöscht werden, sichern wir so wertvolles Wissen langfristig und machen es für alle jederzeit zugänglich.

  • Wazuh Office 365 Integration läuft, aber keine Logs im Dashboard – am Ende waren es Zertifikate & Filebeat

    Ausgangslage In einem All-in-One-Setup (Wazuh Manager, Dashboard und Indexer auf derselben Azure-VM mit privater IP 10.0.1.4) wurde die Office 365 (O365) Integration eingerichtet. In ossec.log erschien zwar: …trotzdem waren keine O365-Events im Wazuh Dashboard sichtbar, obwohl in Microsoft 365 Audit Logs vorhanden waren. Symptome & erste Hinweise Wichtig war hier die Trennung: Entscheidender Diagnose-Schritt: Wo hier weiterlesen

  • Produktionsreife Wazuh-SIEM-Architektur im Gesundheitswesen: Rollen, Konfigurationen und Rollout-Reihenfolge für Hot/Warm + Dedicated Masters + Ingest

    Einleitung In großen Healthcare-Umgebungen (HIPAA/JCIA/ISO) ist Wazuh nicht nur „ein weiteres SIEM“, sondern ein Betriebs- und Compliance-System: hohe EPS, lange Retention, Auditierbarkeit, HA und vorhersagbare Performance sind entscheidend. Technisch steht und fällt das Design mit einer sauberen Trennung der Verantwortlichkeiten zwischen Wazuh Manager-Cluster (Analyse/Regeln/API), Wazuh Indexer (OpenSearch-Fork) für Storage/Suche und einem Dashboard für Visualisierung. Die hier weiterlesen

  • O365-Integration läuft, aber im Wazuh Dashboard „keine Logs“: Wenn Filebeat am Indexer scheitert (SAN/Host-Mismatch)

    TL;DR Wenn das Office365-Modul sauber startet und du O365-Events in alerts.json findest, aber im Dashboard nichts siehst, ist die Integration meist nicht das Problem – sondern der Transport in den Indexer (typisch: Filebeat → Indexer). In diesem Fall war die Ursache ein TLS-Zertifikat ohne passenden SAN für die private IP (10.0.1.4): Das Zertifikat war nur hier weiterlesen

  • Vergangene Logs mit Wazuh erfassen: Was der Agent standardmäßig sammelt, was wirklich tut und wie man historische Logs sicher nachlädt

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Wazuh ist primär als Realtime-SIEM/XDR-Plattform konzipiert. Entsprechend sammelt der Agent standardmäßig nur neue Logeinträge, die ab dem Start des Logcollectors entstehen. In der Praxis entsteht jedoch häufig der Bedarf, bereits vorhandene Logs (z. B. vor der Agent-Installation oder während einer Downtime) nachträglich zu analysieren – etwa im Rahmen einer forensischen hier weiterlesen

  • Wazuh „Not enough buffer space“ in wazuh-remoted: Warum einzelne Agents Konfigs nicht mehr bekommen und wie man bqueue-/Send-Buffer-Backpressure sauber debuggt

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Wenn Wazuh-Agenten keine Shared Configs oder Active-Response-Kommandos mehr erhalten, ist das kein „Komfortproblem“, sondern ein Sicherheitsrisiko: Policies, Detektionslogik und Reaktionen kommen nicht mehr zuverlässig am Endpoint an. In der Praxis äußert sich das häufig über wazuh-remoted-Meldungen wie „Not enough buffer space“ und „Package dropped“. Der reflexartige Ansatz, remoted.send_buffer_size hochzusetzen, hilft hier weiterlesen

  • ILM/ISM Hot–Warm–Cold in einer Wazuh-Umgebung

    Ausgangsfrage (Jonas) Jonas betreibt 1× Manager, 1× Dashboard, 1× Indexer und möchte Index Lifecycle Management (Wazuh Indexer / OpenSearch ISM) so konfigurieren, dass Indizes durch hot → warm → cold laufen – inkl. Shrink in warm und “cold phase”-Aktionen. Kernaussagen aus den Antworten 1) Hot–Warm–Cold braucht mindestens einen “Warm”-Node Mah Wen Qiang verweist auf die hier weiterlesen

  • SentinelOne-Events als JSON

    SentinelOne in Wazuh: Warum JSON-Events im Dashboard fehlen, Logtest „nicht erkannt“ meldet und wie du Parsing, Filebeat-Pipeline und Korrelation stabil bekommst Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Die SentinelOne-Integration ist in Wazuh ein klassischer „Datenpipeline“-Use-Case: Events kommen per API oder Syslog an, werden lokal als JSON oder CEF geschrieben, anschließend von Wazuh ingestiert, decodiert, in den hier weiterlesen

  • Wazuh Dashboard zeigt nur noch Daten eines Workers: Systematische Fehleranalyse für „Filebeat sendet, Indexer ingestiert nicht“

    Einleitung Wenn in einer Wazuh-Cluster-Architektur plötzlich nur noch Events von einem Worker im Dashboard auftauchen, wirkt es auf den ersten Blick wie ein Indexer-Problem. In der Praxis liegt die Ursache häufig an einer Kette aus Nebenwirkungen: ein kurzfristig voller Datenträger auf dem betroffenen Worker, ein danach „gesund“ wirkender Filebeat – und trotzdem keine ingestierten Dokumente. hier weiterlesen

  • Thread-Zusammenfassung: “Sysmon Event kommt an – aber kein MISP-Alert im Dashboard”

    In diesem Thread war der Kernfehler ein Missverständnis über den Datenfluss: Was Jitendra erwartet hat Warum 100622 nie feuern kann (so wie es gebaut ist) Die Regel 100622 matcht nicht Sysmon-Events – sie matcht Events, die bereits MISP-Felder enthalten, z. B.: Deine Sysmon-Roh-Events (EventChannel, EventID 22 / 1) enthalten aber kein integration:misp und kein misp.*.Also hier weiterlesen

  • Wazuh Alerts während Wartungsfenstern gezielt unterdrücken

    Einleitung Regelmäßige Betriebssystem- und Applikationsupdates gehören zum Alltag jeder IT-Umgebung. Für Security- und SIEM-Teams stellen diese Wartungsfenster jedoch eine besondere Herausforderung dar: Während Updates laufen, erzeugen Agenten oft eine Vielzahl erwartbarer, aber sicherheitlich irrelevanter Events. Ohne geeignete Maßnahmen kann dies zu Alert-Fluten, unnötiger Belastung des Wazuh-Managers und Alarmmüdigkeit bei Analysten führen. Dieser Artikel zeigt, wie hier weiterlesen

  • Warum ein Sophos-Firewall-Decoder in Wazuh „nicht funktioniert“: Wenn mehrere Events in einer Logzeile stecken

    EinleitungCustom Decoder sind in Wazuh ein Standardwerkzeug, um herstellerspezifische Logs (z. B. Sophos Firewall „SFW“) in strukturierte Felder zu überführen. Wenn ein Decoder trotz korrekter Regex scheinbar nicht greift, liegt die Ursache häufig nicht im Regex selbst, sondern im Ingestionsformat: Wazuh decodiert grundsätzlich pro eingehendem Event eine Logmessage – wenn ein Forwarder oder ein Logfile hier weiterlesen

  • Wazuh + MISP + Sysmon: Warum Logtest klappt, aber live keine MISP-Alerts kommen (und warum full_log alles kaputtmachen kann)

    In diesem Thread ging es um ein Problem, das in der Praxis extrem häufig ist: Hier ist die Essenz + die eigentliche Root Cause-Kette. 1) Warum Logtest funktioniert, aber live nicht wazuh-logtest prüft nur: Live passiert zusätzlich: Heißt: Logtest kann “grün” sein, obwohl die Integration live an einer anderen Stelle bricht. 2) Der echte Showstopper: hier weiterlesen

  • Jamf Protect & Wazuh Integration: JSON-Decoding, Regeln und Alerts im Dashboard korrekt konfigurieren

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Die Integration von Jamf Protect-Logs in Wazuh zur zentralen Sicherheitsanalyse stellt viele Organisationen vor Parsing-, Decoding- und Rule-Mapping-Herausforderungen. Obwohl die Logs bereits im JSON-Format vorliegen, muss Wazuh sie korrekt einlesen, decodieren und Regeln auslösen, damit sie im Wazuh-Dashboard erscheinen. Dieser Beitrag erklärt, wie Wazuh JSON-Logs aufnimmt, wie passende Regeln geschrieben hier weiterlesen

  • Agent-Failover im Wazuh-Cluster: Zentral verwalten oder doch individuelle Konfiguration?

    Einleitung Bei verteilten Wazuh-Installationen mit hoher Agentenzahl ist eine zentrale, ausfallsichere Konnektivität zwischen Agents und Servern entscheidend. Besonders in bestehenden Umgebungen mit 100+ Agents stellt sich die Frage, wie man Agent-Failover so umsetzt, dass sowohl Stabilität als auch Wartbarkeit gewährleistet sind. In diesem Artikel analysieren wir typische Ansätze, zeigen die Grenzen der nativen Wazuh-Mechanismen auf hier weiterlesen

  • Wazuh Office365 & curl_max_size

    Was wirklich passiert, wenn API-Antworten größer als 1 MB werden Das <office365>-Modul von Wazuh nutzt die Office 365 Management Activity API, um Audit-Logs aus Microsoft 365 abzurufen. In produktiven Tenants taucht dabei früher oder später eine Konfigurationsoption auf, die Fragen aufwirft: Was bedeutet dieses Limit genau? Wann wird es überschritten? Und ist es gefährlich, es hier weiterlesen

  • Wazuh Alerting und Korrelation verstehen: Von Out-of-the-Box-Regeln bis zu eigenen Frequency/Timeframe-Detections

    Einleitung Wazuh wird häufig zuerst als „SIEM mit Indexer“ wahrgenommen: Logs werden eingesammelt, indexiert und sind im Dashboard durchsuchbar. Der eigentliche Sicherheitsmehrwert entsteht aber nicht in der Datenbank, sondern im Analyse- und Regelwerk des Wazuh Managers: Rohdaten werden dekodiert, zu Events normalisiert und anschließend über Regeln, Schwellenwerte und Korrelation in Alerts verwandelt. Wer verstehen will, hier weiterlesen

  • EPSS in Wazuh sauber integrieren: Warum ein eigenes Index-Design und der richtige Trigger über Erfolg oder Frust entscheiden

    Einleitung EPSS (Exploit Prediction Scoring System) ergänzt klassische Vulnerability-Programme um eine entscheidende Dimension: die Wahrscheinlichkeit realer Ausnutzung in naher Zukunft. Während CVSS die theoretische Schwere einer Schwachstelle abbildet, priorisiert EPSS nach Exploit-Likelihood – genau das, was im operativen SOC-Alltag oft fehlt. EPSS wird von FIRST bereitgestellt und lässt sich über eine öffentliche API automatisiert abrufen. hier weiterlesen

  • Wazuh 4.11: Palo Alto Syslog und Agent-Alerts sauber trennen – Index-Routing über Ingest-Pipeline statt Filebeat-Conditions

    Einleitung In produktiven Wazuh-Setups kollidieren zwei Realitäten: Agent-Alerts sind für Detection und Response essenziell, während Firewall-Syslog (z. B. Palo Alto) oft extrem volumenstark ist und andere Aufbewahrungsanforderungen hat. Wer beide Datenströme im gleichen wazuh-alerts-* Index hält, steht schnell vor Problemen bei Retention, Storage-Kosten und Performance. Der naheliegende Ansatz, per Filebeat output.elasticsearch.indices zu routen, funktioniert in hier weiterlesen

  • Wie Wazuh Unternehmen dabei unterstützt, die ISO 27001:2022-Anforderungen zu erfüllen

    Die Einführung der neuen ISO 27001:2022 stellt Unternehmen – insbesondere kleine und mittelständische Betriebe – vor große Herausforderungen. Während die Anforderungen an Informationssicherheit steigen, müssen Organisationen gleichzeitig wirtschaftlich bleiben und ihre Sicherheitsprozesse effizient gestalten. Genau hier setzt Wazuh an: eine leistungsstarke Open-Source-Plattform, die XDR- und SIEM-Funktionen in einem zentralen System vereint. Obwohl Wazuh kein eigenes hier weiterlesen

  • Wazuh Integrations unter Last: Warum überlappende Integration-Blöcke sich gegenseitig blockieren

    EinleitungWazuh-Integrationen sind ein zentrales Bindeglied zwischen Detektion und Reaktion. Ob SOAR, DFIR-Plattformen oder externe Ticket- und Alerting-Systeme – viele Umgebungen leiten sicherheitsrelevante Events automatisiert weiter. In der Praxis zeigt sich jedoch immer wieder ein unerwartetes Verhalten: Sobald mehrere Integration-Blöcke auf dasselbe Event zutreffen, gehen Alerts scheinbar „verloren“. Dieser Artikel erklärt die interne Ausführungslogik von wazuh-integratord, hier weiterlesen