Michael Muenz

Wazuh 4.11: Palo Alto Syslog und Agent-Alerts sauber trennen – Index-Routing über Ingest-Pipeline statt Filebeat-Conditions

von

Einleitung In produktiven Wazuh-Setups kollidieren zwei Realitäten: Agent-Alerts sind für Detection und Response essenziell, während Firewall-Syslog (z. B. Palo Alto) oft extrem volumenstark ist und andere Aufbewahrungsanforderungen hat. Wer beide Datenströme im gleichen wazuh-alerts-* Index hält, steht schnell vor Problemen bei Retention, Storage-Kosten und Performance. Der naheliegende Ansatz, per Filebeat output.elasticsearch.indices zu routen, funktioniert in … Weiterlesen

Wie Wazuh Unternehmen dabei unterstützt, die ISO 27001:2022-Anforderungen zu erfüllen

von

Die Einführung der neuen ISO 27001:2022 stellt Unternehmen – insbesondere kleine und mittelständische Betriebe – vor große Herausforderungen. Während die Anforderungen an Informationssicherheit steigen, müssen Organisationen gleichzeitig wirtschaftlich bleiben und ihre Sicherheitsprozesse effizient gestalten. Genau hier setzt Wazuh an: eine leistungsstarke Open-Source-Plattform, die XDR- und SIEM-Funktionen in einem zentralen System vereint. Obwohl Wazuh kein eigenes … Weiterlesen

Wazuh Integrations unter Last: Warum überlappende Integration-Blöcke sich gegenseitig blockieren

von

EinleitungWazuh-Integrationen sind ein zentrales Bindeglied zwischen Detektion und Reaktion. Ob SOAR, DFIR-Plattformen oder externe Ticket- und Alerting-Systeme – viele Umgebungen leiten sicherheitsrelevante Events automatisiert weiter. In der Praxis zeigt sich jedoch immer wieder ein unerwartetes Verhalten: Sobald mehrere Integration-Blöcke auf dasselbe Event zutreffen, gehen Alerts scheinbar „verloren“. Dieser Artikel erklärt die interne Ausführungslogik von wazuh-integratord, … Weiterlesen

Wazuh von All-in-One zu Cluster skalieren: Sizing nach EPS statt Agent-Zählerei, Migration ohne Risiko und Konsolidierungsstrategie

von

Einleitung Sobald Wazuh von „Proof of Concept“ in den produktiven SOC-Betrieb wächst, kippt ein All-in-One-Setup oft genau dort um, wo es weh tut: CPU/RAM-Spitzen durch Analyse und Korrelationsarbeit, I/O-Engpässe in /var/ossec, und vor allem Storage- und Performance-Druck im Indexer durch steigende Datenvolumina und Retention. Mit ~700 Agents plus zusätzlichen Integrationen (z. B. Firewalls via Syslog) … Weiterlesen

Kann man in Wazuh 4.14.x Regeln auf Basis von OpenSearch Anomaly Detection erstellen?

von

Und wie arbeitet die eingebaute Anomaly Detection überhaupt? Ausgangsfrage aus dem Thread User Yugandhar M. wollte wissen: „Kann ich Wazuh-Regeln auf OpenSearch Anomaly Detection erstellen?“(gemeint: Kann man Alerts generieren oder Wazuh-Regeln schreiben, die auf Anomalien basieren, die OpenSearch erkennt?) Die Antwort von Wazuh Engineer Bony John lautet:Ja – in Wazuh 4.14.x ist Anomaly Detection voll … Weiterlesen

Wazuh All-in-One nach VM-Reboot instabil: Wazuh Indexer „request timeout“, Bootstrap-Checks (memory_lock) und API-Timeouts nachhaltig beheben

von

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) All-in-One-Installationen (Manager, Indexer, Dashboard auf einer VM) sind für den Einstieg bequem – im Betrieb aber empfindlich gegenüber Ressourcenkonkurrenz. Typische Symptome nach einem Reboot: Der Wazuh Indexer startet nicht mehr („service failed“, „request timeout“), Bootstrap-Checks brechen ab („memory locking requested … but memory is not locked“) und die Wazuh API … Weiterlesen

Windows Logoff-Events fluten Wazuh: So filterst du nur „echte“ User-Logins (AD/Windows Server)

von

Problem:Auf einem Windows Server (z. B. Domain Controller/Active Directory) laufen die Windows User Logoff-Events heiß und erzeugen in Wazuh eine Log-Flut – ohne echten Mehrwert. Ziel ist: Nur relevante Login-Events behalten (z. B. interaktive Logins), den Rest möglichst früh abstellen. Warum das passiert Auf Windows-Systemen entstehen Login/Logout-Events sehr häufig – nicht nur durch „echte“ Benutzer, … Weiterlesen

DISK CRITICAL trotz 95 GB frei: Wenn /var wegen Inodes und Wazuh-Indexer-Queue (wazuh-states-vulnerabilities) explodiert

von

Einleitung In Wazuh-Umgebungen mit vielen Agents kann „Disk Critical“ auf Worker-/Manager-Nodes plötzlich auftreten, obwohl df -h noch zweistellige Gigabytes an freiem Speicher zeigt. Der Grund ist häufig nicht der freie Platz, sondern ein Inode-Exhaustion (z. B. inode=99%) – ausgelöst durch sehr viele Dateien in Wazuh-Queues oder RocksDB/Indexer-Connector-Verzeichnissen. In diesem Beitrag geht es um ein konkretes … Weiterlesen

Wazuh + MISP für Firewall-Logs über Rsyslog: IP-IOC-Lookups statt nur Hash-Abgleich

von

Einleitung Viele Wazuh–MISP-Anleitungen demonstrieren die Integration anhand von Datei-Hashes (z. B. FIM-basierte Use-Cases). In realen SIEM-Setups – besonders mit Firewalls – ist jedoch häufig der IP-basierte IOC-Abgleich entscheidend: „Ist die zugelassene oder geblockte Gegenstelle malicious?“ Die gute Nachricht: Aus Sicht des Wazuh Managers macht es keinen Unterschied, ob Logs direkt vom Agent kommen oder über … Weiterlesen

Wazuh E-Mail-Alerts nach Agent-Gruppen filtern: Warum event_location nicht passt und welche Ansätze wirklich funktionieren

von

Einleitung E-Mail-Alerts sind in Wazuh ein bewährter „Last Mile“-Kanal für kritische Events – besonders, wenn ein SOC nicht permanent im Dashboard arbeitet oder bestimmte Betriebsgruppen (z. B. Business Units) eigene Benachrichtigungswege brauchen. Häufig lautet die Anforderung: „Sende Alerts nur für Agent-Gruppe X an Empfänger A und nur für Gruppe Y an Empfänger B.“Genau hier stößt … Weiterlesen