Michael Muenz

Wazuh Dashboard zeigt nur noch Daten eines Workers: Systematische Fehleranalyse für „Filebeat sendet, Indexer ingestiert nicht“

von

Einleitung Wenn in einer Wazuh-Cluster-Architektur plötzlich nur noch Events von einem Worker im Dashboard auftauchen, wirkt es auf den ersten Blick wie ein Indexer-Problem. In der Praxis liegt die Ursache häufig an einer Kette aus Nebenwirkungen: ein kurzfristig voller Datenträger auf dem betroffenen Worker, ein danach „gesund“ wirkender Filebeat – und trotzdem keine ingestierten Dokumente. … Weiterlesen

Thread-Zusammenfassung: “Sysmon Event kommt an – aber kein MISP-Alert im Dashboard”

von

In diesem Thread war der Kernfehler ein Missverständnis über den Datenfluss: Was Jitendra erwartet hat Warum 100622 nie feuern kann (so wie es gebaut ist) Die Regel 100622 matcht nicht Sysmon-Events – sie matcht Events, die bereits MISP-Felder enthalten, z. B.: Deine Sysmon-Roh-Events (EventChannel, EventID 22 / 1) enthalten aber kein integration:misp und kein misp.*.Also … Weiterlesen

Wazuh Alerts während Wartungsfenstern gezielt unterdrücken

von

Einleitung Regelmäßige Betriebssystem- und Applikationsupdates gehören zum Alltag jeder IT-Umgebung. Für Security- und SIEM-Teams stellen diese Wartungsfenster jedoch eine besondere Herausforderung dar: Während Updates laufen, erzeugen Agenten oft eine Vielzahl erwartbarer, aber sicherheitlich irrelevanter Events. Ohne geeignete Maßnahmen kann dies zu Alert-Fluten, unnötiger Belastung des Wazuh-Managers und Alarmmüdigkeit bei Analysten führen. Dieser Artikel zeigt, wie … Weiterlesen

Warum ein Sophos-Firewall-Decoder in Wazuh „nicht funktioniert“: Wenn mehrere Events in einer Logzeile stecken

von

EinleitungCustom Decoder sind in Wazuh ein Standardwerkzeug, um herstellerspezifische Logs (z. B. Sophos Firewall „SFW“) in strukturierte Felder zu überführen. Wenn ein Decoder trotz korrekter Regex scheinbar nicht greift, liegt die Ursache häufig nicht im Regex selbst, sondern im Ingestionsformat: Wazuh decodiert grundsätzlich pro eingehendem Event eine Logmessage – wenn ein Forwarder oder ein Logfile … Weiterlesen

Wazuh + MISP + Sysmon: Warum Logtest klappt, aber live keine MISP-Alerts kommen (und warum full_log alles kaputtmachen kann)

von

In diesem Thread ging es um ein Problem, das in der Praxis extrem häufig ist: Hier ist die Essenz + die eigentliche Root Cause-Kette. 1) Warum Logtest funktioniert, aber live nicht wazuh-logtest prüft nur: Live passiert zusätzlich: Heißt: Logtest kann “grün” sein, obwohl die Integration live an einer anderen Stelle bricht. 2) Der echte Showstopper: … Weiterlesen

Jamf Protect & Wazuh Integration: JSON-Decoding, Regeln und Alerts im Dashboard korrekt konfigurieren

von

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Die Integration von Jamf Protect-Logs in Wazuh zur zentralen Sicherheitsanalyse stellt viele Organisationen vor Parsing-, Decoding- und Rule-Mapping-Herausforderungen. Obwohl die Logs bereits im JSON-Format vorliegen, muss Wazuh sie korrekt einlesen, decodieren und Regeln auslösen, damit sie im Wazuh-Dashboard erscheinen. Dieser Beitrag erklärt, wie Wazuh JSON-Logs aufnimmt, wie passende Regeln geschrieben … Weiterlesen

Agent-Failover im Wazuh-Cluster: Zentral verwalten oder doch individuelle Konfiguration?

von

Einleitung Bei verteilten Wazuh-Installationen mit hoher Agentenzahl ist eine zentrale, ausfallsichere Konnektivität zwischen Agents und Servern entscheidend. Besonders in bestehenden Umgebungen mit 100+ Agents stellt sich die Frage, wie man Agent-Failover so umsetzt, dass sowohl Stabilität als auch Wartbarkeit gewährleistet sind. In diesem Artikel analysieren wir typische Ansätze, zeigen die Grenzen der nativen Wazuh-Mechanismen auf … Weiterlesen

Wazuh Office365 & curl_max_size

von

Was wirklich passiert, wenn API-Antworten größer als 1 MB werden Das <office365>-Modul von Wazuh nutzt die Office 365 Management Activity API, um Audit-Logs aus Microsoft 365 abzurufen. In produktiven Tenants taucht dabei früher oder später eine Konfigurationsoption auf, die Fragen aufwirft: Was bedeutet dieses Limit genau? Wann wird es überschritten? Und ist es gefährlich, es … Weiterlesen

Wazuh Alerting und Korrelation verstehen: Von Out-of-the-Box-Regeln bis zu eigenen Frequency/Timeframe-Detections

von

Einleitung Wazuh wird häufig zuerst als „SIEM mit Indexer“ wahrgenommen: Logs werden eingesammelt, indexiert und sind im Dashboard durchsuchbar. Der eigentliche Sicherheitsmehrwert entsteht aber nicht in der Datenbank, sondern im Analyse- und Regelwerk des Wazuh Managers: Rohdaten werden dekodiert, zu Events normalisiert und anschließend über Regeln, Schwellenwerte und Korrelation in Alerts verwandelt. Wer verstehen will, … Weiterlesen

EPSS in Wazuh sauber integrieren: Warum ein eigenes Index-Design und der richtige Trigger über Erfolg oder Frust entscheiden

von

Einleitung EPSS (Exploit Prediction Scoring System) ergänzt klassische Vulnerability-Programme um eine entscheidende Dimension: die Wahrscheinlichkeit realer Ausnutzung in naher Zukunft. Während CVSS die theoretische Schwere einer Schwachstelle abbildet, priorisiert EPSS nach Exploit-Likelihood – genau das, was im operativen SOC-Alltag oft fehlt. EPSS wird von FIRST bereitgestellt und lässt sich über eine öffentliche API automatisiert abrufen. … Weiterlesen