admin

Viele Unternehmen betreiben Wazuh in der Cloud – etwa in AWS – möchten aber gleichzeitig auch on-prem Komponenten integrieren.Genau das plante Obeyd:Ein großer Wazuh-Cluster in AWS (5 Manager, 9 Indexer, 1 Dashboard) – und zusätzlich ein weiterer Manager-Worker in einem entfernten On-Prem-Standort. Die Frage:Kann ein Wazuh Manager Cluster stabil funktionieren, wenn ein Worker über WAN … Weiterlesen

Wer AWS WAF-Logs mit Wazuh auswertet, stößt früher oder später auf ein nerviges Detail:Arrays von Objekten werden vom JSON-Decoder „plattgemacht“ – und plötzlich ist die Zuordnung von Header-Name zu Header-Wert kaputt. Genau das passierte Prathamesh Bakliwal, der WAF-Logs aus CloudWatch über das Wazuh-aws-s3-Modul einspeist. Die Felder waren zwar dekodiert – aber nicht so, wie er … Weiterlesen

Im Thread von Ewin Loppe ging es um ein typisches Thema in Wazuh-/OpenSearch-Umgebungen:Der Cluster-Status ist gelb, einige Shards sind unassigned, und Dev Tools werfen plötzlich 403 / security_exception. Schauen wir uns an, warum das passiert – und wie man es sauber behebt. 1. Ausgangslage: Cluster „yellow“ und unassigned Shards Ewin hat den Clusterzustand geprüft: Ausgabe … Weiterlesen

Wer WatchGuard-Firewall-Logs über einen Syslog-Collector in Wazuh einspeist, trifft schnell auf diese frustrierende Meldung: No decoder matched Genau das ist Nikola passiert:Die Logs der WatchGuard-Firewall landen per rsyslog → lokale Datei → Wazuh-Agent → Manager im System, tauchen in archives.log auf – aber keiner der gefundenen WatchGuard-Decoder von GitHub greift. In diesem Artikel schauen wir … Weiterlesen

File Integrity Monitoring (FIM) ist eine zentrale Sicherheitskomponente moderner Endpoint-Überwachung. Es ermöglicht Administratoren, Dateiänderungen in Echtzeit zu erkennen, Integritätsverstöße aufzudecken und sicherheitsrelevante Manipulationen zu protokollieren.Ein Slack-Thread aus der Wazuh-Community bot einen detaillierten Einblick in die Funktionsweise und Praxis, den wir in diesem Blogpost strukturiert zusammenführen und erweitern. 1. Wie arbeiten Kernel und Wazuh-Agent zusammen? Wazuh … Weiterlesen

Die rollenbasierte Zugriffskontrolle (RBAC) in Wazuh ist ein wichtiges Werkzeug, wenn Organisationen sensible Sicherheitsdaten nur bestimmten Benutzergruppen zugänglich machen möchten. Doch während Wazuh selbst sehr feingranulare Agent-Berechtigungen bietet, zeigt die Kombination mit OpenSearch aktuell deutliche Schwachstellen. Im Slack-Thread beschreibt Lennart Hagemann ein Problem, das viele Wazuh-Administratoren betreffen dürfte:Wie verhindert man, dass Benutzer*innen Daten über Agents … Weiterlesen

Slack ist ein großartiger Ort für schnellen Austausch – aber genau das ist manchmal auch ein Problem. Nachrichten verschwinden nach 90 Tagen aus dem Verlauf, werden nicht indexiert und wertvolle Diskussionen sind später kaum mehr auffindbar. Gerade im Wazuh-Slack, in dem viele spannende technische Gespräche stattfinden, fand ich das zunehmend schade. Deshalb habe ich mich … Weiterlesen

In komplexen Cloud-Umgebungen ist es essenziell, ungewöhnliche Aktivitäten frühzeitig zu erkennen. Eine häufige Herausforderung: Ein überwachter Benutzerin führt eine Operation plötzlich von einer neuen, bisher unbekannten IP-Adresse aus.Im Slack-Thread aus dem Wazuh-Community-Channel schilderte Marcin Strzyzewski genau dieses Problem – und erhielt hilfreiche Antworten, die wir hier zusammenfassen. Ausgangssituation Marcin wollte eine korrelierende Wazuh-Regel schreiben, die … Weiterlesen