Slack

Wir verfolgen den internen Wazuh Slack-Channel aufmerksam und bereiten besonders interessante Diskussionen mithilfe von KI als Blogbeiträge auf. Da Slack-Unterhaltungen nach 90 Tagen automatisch gelöscht werden, sichern wir so wertvolles Wissen langfristig und machen es für alle jederzeit zugänglich.

  • OpenSearch-Mapping-Konflikte in Wazuh beheben: Netflow-Bytes aggregierbar machen und Visualisierungen retten

    Einleitung Wer Netzflussdaten (z. B. Netflow via Filebeat) in Wazuh nutzt, möchte früher oder später Bandbreite historisch auswerten: Bytes über Zeit, getrennt nach „intern → extern“ und „extern → intern“. In der Praxis scheitert das oft nicht an der Visualisierung selbst, sondern an Index-Mappings, Konflikten über Tagesindizes hinweg und „kaputten“ Saved Objects im Dashboard. Dieser hier weiterlesen

  • Synology-Logs in Wazuh: Warum deine Regeln erst mit den richtigen Decodern funktionieren

    Wer sein Synology NAS mit Wazuh überwacht, stolpert früher oder später über Community-Projekte wie dieses: GitHub: Tomo-9925 / wazuh-synology-dsm-decoder-and-rules– synology-rules.xml (Regeln)– synology-syslog.xml (Decoder) Genau das wollte auch ein User im Wazuh-Community-Channel einbinden – und bekam nur: XML syntax error Die Ursache war am Ende nicht „kaputte XML“, sondern die Reihenfolge & Vollständigkeit der Integration. 1. hier weiterlesen

  • Windows EventID 4624 gezielt filtern: Erfolgreiche RDP-Anmeldungen (LogonType 10) sauber mit Wazuh erfassen

    Einleitung Erfolgreiche Windows-Anmeldungen (EventID 4624) gehören zu den zentralen Telemetriedaten in Wazuh-Umgebungen. Gleichzeitig erzeugen sie ein enormes Datenvolumen, da nahezu jede lokale, Netzwerk- oder Dienstanmeldung dieses Event auslöst. Für viele Security- und SOC-Use-Cases sind jedoch nur bestimmte Anmeldearten relevant – insbesondere Remote Desktop (RDP), das über LogonType 10 abgebildet wird. Dieser Artikel zeigt, wie sich hier weiterlesen

  • TP-Link Access-Point-Logs in Wazuh dekodieren: Vom „archive.json“-Event zum sauberen Custom-Decoder

    Einleitung Netzwerkgeräte wie Access Points liefern häufig sehr hilfreiche Telemetrie: MAC-Adressen, Quell-/Ziel-IP, Protokoll und Ports. Für Security-Teams sind das ideale Datenpunkte, um laterale Bewegung, ungewöhnliche Verbindungen oder auffällige Client-Aktivität frühzeitig zu erkennen. Damit Wazuh diese Informationen regelbasiert auswerten kann, müssen die Rohlogs jedoch korrekt dekodiert werden. In der Praxis scheitert das oft daran, dass statt hier weiterlesen

  • Warum frisst mein Wazuh Indexer-Cluster mehr Speicher als die “Rohdaten-Rechnung” erwarten lässt?

    Ausgangslage: 3 Indexer-Nodes à ~1,7 TB (= ~5,1 TB). Ingestion ~100 GB/Tag ⇒ ~3 TB Rohdaten für 30 Tage. Trotzdem sind ~5,1 TB belegt. Das ist in OpenSearch/Wazuh nicht ungewöhnlich – weil (a) Replikation und Shards Daten vervielfachen und (b) der “Index auf Platte” deutlich mehr ist als der reine JSON-Logstrom. 1) Der häufigste Grund: hier weiterlesen

  • Auditd-Decoder in Wazuh erweitern: PROCTITLE korrekt extrahieren

    EinleitungAuditd-Logs gehören zu den wichtigsten Telemetriedaten für Sicherheits-Monitoring, Incident Response und forensische Analysen. Besonders in Linux-Umgebungen liefern sie reichhaltige Informationen zu Systemaufrufen, Ausführungsparametern und Prozessmetadaten. Eine Herausforderung in Wazuh ist dabei die Decodierung von PROCTITLE, dem Feld, das die vollständige Prozess-Commandline enthält. Dieser Artikel zeigt, wie Sie Ihre auditd-Decoder in Wazuh so erweitern, dass PROCTITLE hier weiterlesen

  • Wazuh Vulnerability Detection auf Debian 12/13: Warum „tausende CVEs“ erscheinen, wie man echte Findings von False Positives trennt und was bei Debian-Versionen wirklich verglichen wird

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Vulnerability Detection ist in Wazuh ein zentrales Hygiene- und Exposure-Signal: Es korreliert die Software-Inventardaten der Agents mit Vulnerability-Intelligence und macht Schwachstellen im Dashboard und via Alerts sichtbar. Gerade auf Debian 12/13 sorgt dieses Feature aber immer wieder für Frust, wenn nach einer frischen Installation scheinbar „Hunderte bis Tausende“ CVEs auftauchen, hier weiterlesen

  • Wazuh: Windows-Noise rausfiltern – saubere Suppression für normale Logons

    Wer mit Windows-Events in Wazuh arbeitet, landet früher oder später hier:Die Konsole ist voll mit ganz normalen, technischen Logons, vor allem Event ID 4624 (Logon Success) – z. B. Service-Logons über services.exe.Kein Angriff, kein Risiko – aber jede Menge Lärm. Genau das wollte Kashif in seinem Test-Setup lösen:„Wie unterdrücke ich nur diese Routine-Logons, ohne andere hier weiterlesen

  • BitLocker WARNING/INFO verschwinden in Wazuh: Warum Events im archives.log landen, aber nicht im Index – und wie Regeln für 60009–60012 korrekt bauen

    Einleitung Windows BitLocker ist in vielen Umgebungen ein Sicherheitsanker – gerade deshalb sind Events wie „BitLocker was suspended“ operativ relevant: Sie können auf Wartungsfenster, policy-gesteuerte Änderungen oder auch auf ein Risiko (Schutz temporär deaktiviert) hinweisen. Wenn solche Ereignisse in Wazuh zwar in archives.log auftauchen, aber im Dashboard nicht sichtbar sind und Custom Rules nur bei hier weiterlesen

  • Integration von Cloudflare-Logs in Wazuh: Ansätze, technische Umsetzung und Best Practices

    Einleitung Cloudflare stellt umfangreiche Logs zu Web-Anfragen, Firewall-Events und Audit-Daten bereit, die für Sicherheits- und Vorfallanalysen in modernen SIEM-Umgebungen essenziell sind. Wazuh als Open-Source-SIEM/EDR-Plattform kann diese Daten nicht „out-of-the-box“ direkt aus Cloudflare empfangen, bietet aber flexible Mechanismen zur Ingestion über Cloud-Storage-Ziele oder API-basierte Lösungen. Dieser Beitrag zeigt die verschiedenen technischen Pfade, Voraussetzungen und praktische Implementierungsschritte hier weiterlesen

  • Wenn Wazuh-Templates gegen Composable Templates verlieren – und warum ChatGPT hier (fast) alles kaputtgemacht hätte

    Kevin stand vor einer typischen, aber extrem nervigen OpenSearch/Wazuh-Fehlermeldung. Beim Aggregieren nach manager.name kam vom Wazuh-Indexer: Kurz gesagt: Du willst ein Textfeld aggregieren, das als text gemappt ist, nicht als keyword. Im Wazuh-Kontext ist das ungewöhnlich – denn manager.name ist in der Standard-Template eigentlich schon als keyword definiert. Also: Was lief hier schief? Was die hier weiterlesen

  • Wazuh Composite Rules richtig einsetzen: Warum 5× Regel 120000 in 1h nicht triggert – und welche Alternativen zuverlässig funktionieren

    Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Zeitbasierte Korrelation gehört zu den häufigsten Anforderungen in SIEM- und HIDS-Umgebungen: Mehrere fehlgeschlagene VPN-Logins sollen zunächst als Verdachtsmoment erkannt und bei wiederholtem Auftreten zu einem höher priorisierten Alarm eskaliert werden. In Wazuh wird das oft mit frequency/timeframe und „Composite Rules“ (if_matched_sid) umgesetzt. In der Praxis scheitert genau diese Eskalationslogik jedoch hier weiterlesen

  • Wazuh-Cluster und Master-Rolle: Warum ein Role-Switch nicht möglich ist und wie man Ausfälle korrekt behandelt

    Einleitung Hochverfügbarkeit ist ein zentrales Thema beim Betrieb von SIEM- und Security-Monitoring-Plattformen. In Wazuh-Umgebungen wird dieses Ziel häufig über den Einsatz eines Clusters aus Master- und Worker-Nodes verfolgt. Dabei taucht regelmäßig die Frage auf, ob sich die Master-Rolle nachträglich oder im Fehlerfall dynamisch auf einen Worker verschieben lässt. Die kurze Antwort lautet: nein. Die längere hier weiterlesen

  • CDB-Listen in Wazuh 4.14.1 richtig einsetzen: Warum match_key_value bei IPs scheitert und Datenanreicherung nicht möglich ist

    Einleitung CDB-Listen sind ein zentrales Werkzeug in Wazuh, um große Mengen an Indikatoren wie IPs, Domains oder Hashes performant gegen eingehende Events zu prüfen. Gerade im Kontext von Threat Intelligence und IOC-Matching entsteht jedoch häufig die Erwartung, dass CDB-Listen nicht nur zur Erkennung, sondern auch zur Datenanreicherung genutzt werden können – etwa um eine Beschreibung hier weiterlesen

  • Wazuh Dashboard verliert Verbindung zum Indexer nach manueller Index-Löschung: Ursachen, Security-Reinit und saubere Recovery

    Einleitung Wazuh-Umgebungen stehen und fallen mit einem konsistenten Wazuh Indexer (OpenSearch). Sobald Indexdaten “auf Dateisystemebene” manuell entfernt werden, kann das zwar kurzfristig Speicherplatz schaffen, aber auch Cluster-Metadaten, Shard-Zuordnungen und sicherheitsrelevante Systemindizes beschädigen. Die Folge reicht von roten Clusterzuständen bis hin zu nicht initialisierter OpenSearch-Security – und damit zu einem nicht mehr erreichbaren Wazuh Dashboard. Ausgangslage hier weiterlesen

  • Passwortänderungen in Wazuh auf Kubernetes: Fallstricke, Reihenfolge und Best Practices

    Einleitung Der Betrieb von Wazuh auf Kubernetes bringt viele Vorteile in Bezug auf Skalierbarkeit und Automatisierung – erhöht aber gleichzeitig die Komplexität bei sicherheitsrelevanten Änderungen. Besonders deutlich wird dies beim Ändern von Benutzerpasswörtern für Indexer- und API-Komponenten. Ein scheinbar einfacher Vorgang kann schnell zu Authentifizierungsfehlern oder nicht mehr erreichbaren Services führen, wenn die Abhängigkeiten zwischen hier weiterlesen

  • Wazuh Custom Rules & Time-Based Detection: Warum die Syntax oft scheitert — und wie du es richtig machst

    Daniel meldete ein Problem, das viele Wazuh-Nutzer kennen:Beim Upload einer Custom Rule über das Dashboard erscheint nur: Selbst wenn die Regel eigentlich harmlos aussieht. In diesem Beitrag zeige ich: Problem 1: Fehlerhafte Syntax bei Frequenz-Regeln Die erste Regel des Users: Was war falsch? Fehler 1 — if_sid falsch eingesetzt if_sid ist für eine einfache Regellogik.Für hier weiterlesen

  • PostgreSQL-Auth-Fehler in Wazuh sauber dekodieren und als Rule alerten: Decoder-Design, Feldextraktion und Rule-Chaining

    Einleitung Fehlgeschlagene Datenbank-Authentifizierungen gehören zu den wichtigsten Signalen in einem SIEM: Sie sind häufiges Symptom für Credential-Stuffing, Brute-Force-Versuche, Fehlkonfigurationen oder ausgerollte Systeme ohne korrekt gesetzte Secrets. Damit Wazuh solche Ereignisse zuverlässig erkennt, braucht es zwei Bausteine: einen Decoder, der die relevanten Felder aus dem Log extrahiert (z. B. den betroffenen PostgreSQL-User), und passende Rules, die hier weiterlesen

  • Wazuh Indexer „Circuit Breaking Exception“: Warum dein Cluster plötzlich stehenbleibt – und wie du es sauber behebst

    Suresh und Bhanu meldeten ein Problem, das in vielen produktiven Wazuh-Installationen auftaucht:Plötzlich ist das Dashboard nicht erreichbar, Queries schlagen fehl – und der Wazuh-Indexer meldet: Ein klassischer Fall von: Zu wenig Heap – zu viel Arbeit für den Indexer OpenSearch (bzw. der Wazuh-Indexer) schützt sich selbst vor Out-of-Memory-Situationen. Wenn eine Operation (z. B. eine Suche, hier weiterlesen

  • Wazuh Migration & Wiederherstellung

    RBAC, Rollen, User und Agent-Gruppen korrekt sichern und wiederherstellen Einleitung Nach einer Neuinstallation oder Migration eines Wazuh-Clusters stellt sich häufig heraus, dass zwar Agenten, Indizes und Logs wieder vorhanden sind – aber sicherheitsrelevante Metadaten fehlen. Dazu zählen insbesondere: Dieser Artikel erklärt wo diese Informationen gespeichert sind, wie sie korrekt gesichert werden und welche Restore-Strategien zukunftssicher hier weiterlesen