Alles rund ums Thema Wazuh
Michael Muenz Viele starten mit der offiziellen Wazuh Docker Multi-Node Deployment:3× Indexer, 2× Manager, Dashboard, Nginx – alles auf einem Host.Früher oder später kommt dann die Frage: „Wie skaliere ich das Ganze horizontal auf einen zweiten Server und hänge dort einen weiteren Manager-Worker dran?“ Genau das hat der Nutzer im Thread versucht – mit einigen Stolpersteinen: Schauen … Weiterlesen
Einleitung Wenn im Wazuh Dashboard „von jetzt auf gleich“ keine neuen Events mehr erscheinen, wirkt das zunächst wie ein klassisches Pipeline-Problem: Filebeat, Indexer, Manager oder Dashboard „hängen“. In vielen Fällen laufen aber alle Services fehlerfrei, die Alerts liegen sogar weiterhin auf dem Manager vor – und trotzdem bleibt das Dashboard leer. Ein typischer Grund dafür … Weiterlesen
Wenn Unternehmen beginnen, Wazuh-Agenten per Zertifikat zu authentifizieren, kommt schnell eine naheliegende Frage auf: Kann der Wazuh-Agent Zertifikate aus dem Windows Certificate Store nutzen – z. B. aus „Local Machine → Personal“? Die intuitive Antwort wäre:„Natürlich – Windows verwaltet Zertifikate doch zentral, warum sollte Wazuh sie nicht einfach dort abholen?“ Die tatsächliche Antwort lautet jedoch: … Weiterlesen
Einleitung Wer Netzflussdaten (z. B. Netflow via Filebeat) in Wazuh nutzt, möchte früher oder später Bandbreite historisch auswerten: Bytes über Zeit, getrennt nach „intern → extern“ und „extern → intern“. In der Praxis scheitert das oft nicht an der Visualisierung selbst, sondern an Index-Mappings, Konflikten über Tagesindizes hinweg und „kaputten“ Saved Objects im Dashboard. Dieser … Weiterlesen
Wer sein Synology NAS mit Wazuh überwacht, stolpert früher oder später über Community-Projekte wie dieses: GitHub: Tomo-9925 / wazuh-synology-dsm-decoder-and-rules– synology-rules.xml (Regeln)– synology-syslog.xml (Decoder) Genau das wollte auch ein User im Wazuh-Community-Channel einbinden – und bekam nur: XML syntax error Die Ursache war am Ende nicht „kaputte XML“, sondern die Reihenfolge & Vollständigkeit der Integration. 1. … Weiterlesen
Einleitung Erfolgreiche Windows-Anmeldungen (EventID 4624) gehören zu den zentralen Telemetriedaten in Wazuh-Umgebungen. Gleichzeitig erzeugen sie ein enormes Datenvolumen, da nahezu jede lokale, Netzwerk- oder Dienstanmeldung dieses Event auslöst. Für viele Security- und SOC-Use-Cases sind jedoch nur bestimmte Anmeldearten relevant – insbesondere Remote Desktop (RDP), das über LogonType 10 abgebildet wird. Dieser Artikel zeigt, wie sich … Weiterlesen
Einleitung Netzwerkgeräte wie Access Points liefern häufig sehr hilfreiche Telemetrie: MAC-Adressen, Quell-/Ziel-IP, Protokoll und Ports. Für Security-Teams sind das ideale Datenpunkte, um laterale Bewegung, ungewöhnliche Verbindungen oder auffällige Client-Aktivität frühzeitig zu erkennen. Damit Wazuh diese Informationen regelbasiert auswerten kann, müssen die Rohlogs jedoch korrekt dekodiert werden. In der Praxis scheitert das oft daran, dass statt … Weiterlesen
Ausgangslage: 3 Indexer-Nodes à ~1,7 TB (= ~5,1 TB). Ingestion ~100 GB/Tag ⇒ ~3 TB Rohdaten für 30 Tage. Trotzdem sind ~5,1 TB belegt. Das ist in OpenSearch/Wazuh nicht ungewöhnlich – weil (a) Replikation und Shards Daten vervielfachen und (b) der “Index auf Platte” deutlich mehr ist als der reine JSON-Logstrom. 1) Der häufigste Grund: … Weiterlesen
EinleitungAuditd-Logs gehören zu den wichtigsten Telemetriedaten für Sicherheits-Monitoring, Incident Response und forensische Analysen. Besonders in Linux-Umgebungen liefern sie reichhaltige Informationen zu Systemaufrufen, Ausführungsparametern und Prozessmetadaten. Eine Herausforderung in Wazuh ist dabei die Decodierung von PROCTITLE, dem Feld, das die vollständige Prozess-Commandline enthält. Dieser Artikel zeigt, wie Sie Ihre auditd-Decoder in Wazuh so erweitern, dass PROCTITLE … Weiterlesen
Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Vulnerability Detection ist in Wazuh ein zentrales Hygiene- und Exposure-Signal: Es korreliert die Software-Inventardaten der Agents mit Vulnerability-Intelligence und macht Schwachstellen im Dashboard und via Alerts sichtbar. Gerade auf Debian 12/13 sorgt dieses Feature aber immer wieder für Frust, wenn nach einer frischen Installation scheinbar „Hunderte bis Tausende“ CVEs auftauchen, … Weiterlesen