Michael Muenz

Wie man Wazuh-Audit-Logs aktiviert und im SIEM sichtbar macht – eine kurze Erfolgsgeschichte

von

In der heutigen Welt der Cybersecurity ist Transparenz ein zentraler Baustein jeder Sicherheitsarchitektur. Wer hat sich wann eingeloggt? Welche Aktionen wurden ausgeführt? Und wo werden diese Informationen gespeichert?Genau diese Fragen stellte Moiz Munawar heute Morgen im Wazuh-Community-Channel – und löste damit eine kleine, aber äußerst hilfreiche Diskussion aus. Im Folgenden fassen wir den Austausch zusammen … Weiterlesen

ISACA Use-case B01 Löschung von Ereignisprotokollen

von

Im Einleitungsartikel zu den ISACA Use-cases habe ich ganz unten bereits den Use-case B01 angeteasert. Jetzt ist dann auch der erste Artikel der Serie soweit fertig. Wie immer ist SIEM kein abschließender Prozess, heißt, die Ansätze via auditd und FIM für Linux fehlen hier noch, dazu fehlen noch Artikel die die Grundlagen dazu erläutern. Viel … Weiterlesen

Wer alarmiert wenn Wazuh nicht mehr alarmiert?

von

In Wazuh werden Events pro Sekunde gezählt, d.h. es ist immer was los. Doch wer alarmiert uns wenn Wazuh keine Daten mehr in den Index schreibt, oder ein spezifischer Agent keine Events mehr schickt? Kevin Branch, ein Wazuh Ambassador Kollege hat sich dem Thema befasst, viel Spaß beim lesen.

Wazuh Active-Response einfach erklärt

von

Man muss das Rad nicht immer 2mal erfinden. Ein Bekannter hat einen guten Artikel inkl. YouTube Video dazu veröffentlicht, in dem alles ganz gut beschrieben ist. Man muss es einmal selbst gemacht haben, ohne sich vorher noch die nächsten drei Schritte zu fragen. https://elwalikarkoub.substack.com/p/network-isolation-for-dfir-using Active-Response selbst ist natürlich auch in der Dokumentation von Wazuh selbst … Weiterlesen

Wazuh Roadmap

von

Ich hatte eben einen interessanten Tech-Talk über die Roadmap von Wazuh mit einem der Techniker, in aller Kürze: Version 4.13 (vmtl. heute verfügbar)– Fokus auf IT-Hygiene– Einführung globaler Queries: Systemweite Abfragen zu laufenden Prozessen Abfragen offener Ports über alle angebundenen Systeme hinweg Version 4.14 (Ende Oktober)– Einführung eines AI Assistant, kompatibel mit beliebigen LLMs, für Analysten um … Weiterlesen

Was ist in Wazuh der Unterschied von timestamp und @timestamp

von

Hier ein Betrag aus dem Slack (von Hasitha Upekshitha) fürs Archiv: Das Timestamp-Feld bezieht sich in der Regel auf den Zeitpunkt, an dem ein Ereignis vom Quellsystem erzeugt oder aufgezeichnet wurde (z. B. vom überwachten Endpunkt, einer Anwendung oder einem Gerät), bevor es von Wazuh verarbeitet wird. Dieses Feld wird oft direkt aus dem Log … Weiterlesen