Michael Muenz

Wazuh Custom Rule greift nicht bei JSON-Logs: Sonderzeichen in korrekt escapen

von

Ausgangslage Ein Nutzer wollte ModSecurity-Events im JSON-Format mit einer eigenen Wazuh-Regel erkennen.Die Regel sah korrekt aus, erzeugte aber keine Alerts, obwohl die Events sauber dekodiert wurden. Regel (ursprünglich): Beispiel-Event (Auszug): Trotz passendem Feldinhalt wurde kein Alert generiert. Ursache Der entscheidende Punkt:Das <field>-Element in Wazuh-Regeln nutzt OS_Regex (osregex) – nicht einen reinen String-Vergleich. In osregex haben … Weiterlesen

Wazuh Cross-Cluster Search (CCS): Warum ein klassischer Read-Only-User nicht ausreicht und welche RBAC-Rollen wirklich benötigt werden

von

Einleitung Cross-Cluster Search (CCS) ermöglicht es, mehrere Wazuh-Cluster zentral über einen Wazuh-Indexer abzufragen und die aggregierten Daten im Dashboard darzustellen. Gerade in Multi-Site- oder Mandanten-Umgebungen ist CCS ein essenzieller Baustein für zentrale Security-Analysen, SOC-Betrieb und konsolidierte Incident-Response-Prozesse. In der Praxis zeigt sich jedoch häufig ein Problem: Ein nach Dokumentation erstellter Read-Only-User kann sich zwar am … Weiterlesen

Wazuh 4.11 stoppt Datenaufnahme durch Shard-Limit im Indexer: Ursachen, Sofortfix und nachhaltige Retention-Strategie

von

Einleitung Wenn im Wazuh Dashboard plötzlich keine neuen Events mehr erscheinen, wirkt das zunächst wie ein Pipeline-Problem (Manager, Filebeat, Indexer, Dashboard). In der Praxis ist die Ursache häufig eine Schutzgrenze im Wazuh Indexer (OpenSearch): Sobald das Cluster das maximale Shard-Limit erreicht, scheitert die Index-Erstellung – und damit bricht die Datenaufnahme ab. Besonders in Single-Node-Setups mit … Weiterlesen

Wazuh OpenClaw Autopilot mit Ollama statt Claude betreiben: Air-gapped Setup ohne Tailscale und ohne Cloud-API-Keys

von

Einleitung „Autonomous SOC“-Ansätze klingen attraktiv: Alerts automatisch triagieren, zusammenhängende Incidents korrelieren, Evidence Packs erzeugen und Response-Pläne vorschlagen – idealerweise mit Human-in-the-Loop und klaren Policies. In der Praxis scheitert die Evaluierung aber oft an zwei Punkten: (1) das Projekt ist auf Cloud-LLMs (z. B. Claude) vorgeprägt und (2) die Referenzinstallation nutzt Tailscale für Zero-Trust-Networking. Dieser Beitrag … Weiterlesen

Sophos Firewall Logs in Wazuh: Warum OpenSearch Data Streams (noch) nicht nativ gehen – und wie man Logs sauber in eigene Indizes routet und per ISM „datastream-ähnlich“ verwaltet

von

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Netzwerk- und Firewall-Telemetrie wie Sophos-SSL-Rejects ist für Detection Engineering und Threat Hunting wertvoll – vorausgesetzt, die Daten landen strukturiert, performant und mit sinnvoller Lifecycle-Strategie im Indexer. In OpenSearch sind Data Streams ein komfortables Modell für kontinuierliche Logdaten. In Wazuh ist der Standardpfad jedoch weiterhin auf zeitbasierte Indizes plus Index State … Weiterlesen

„Duplicate agent name“ bei der Wazuh-Agent-Enrollment: Ursachen in Agent-Inventory, Load Balancer und Authd-Debugging

von

Einleitung Die Wazuh-Agent-Enrollment ist der erste kritische Schritt, bevor Telemetrie, FIM, Vulnerability Detection oder Active Response überhaupt zuverlässig funktionieren. Wenn der Manager die Registrierung mit Duplicate agent name ablehnt, ist das selten nur ein „Name-Problem“. In der Praxis steckt häufig ein Zustand dahinter, in dem Agenten wiederholt (und erfolglos) re-enrollen, der Manager alte Agent-Identitäten nicht … Weiterlesen

Mehrere Bedingungen in Wazuh-Regeln korrekt umsetzen: if_sid, if_matched_sid und Korrelationsdesign richtig einsetzen

von

Einleitung Komplexe Use Cases erfordern in Wazuh häufig mehr als eine einfache „Wenn Event X, dann Alert“-Logik. Typische Szenarien sind Multi-Stage-Angriffe, Brute-Force-Versuche mit Vorbedingungen oder Korrelation unterschiedlicher Logquellen innerhalb eines Zeitfensters. Eine häufige Frage lautet daher: Kann eine Wazuh-Regel mehrere Bedingungen enthalten – und wird der Alert nur ausgelöst, wenn alle erfüllt sind? Die kurze … Weiterlesen

Wazuh Indexer im Single-Node dauerhaft „yellow“: Replica-Shards, Index-Templates und .sst-Wachstum sauber beheben

von

Einleitung Ein dauerhaft gelber Cluster-Status im Wazuh Indexer wirkt auf den ersten Blick wie ein „Kosmetikproblem“. In Single-Node-Installationen ist „yellow“ aber fast immer ein Symptom unpassender Replica-Konfigurationen – und kann reale Nebenwirkungen haben: blockierte Shard-Allokationen, verzögerte/ausbleibende Index-Aktualisierung und wachsender Plattenverbrauch durch shardbezogene Daten im Indexer-Datenpfad. Genau dieses Muster tritt häufig bei systemnahen Indizes wie .opendistro-* … Weiterlesen

Wazuh Cloud mit GKE: Warum DaemonSet-Agents „keine Daten“ liefern, gcp-pubsub mit Exit Code 1 läuft und wie man Agent-Pods, Inventar und Auto-Cleanup richtig betreibt

von

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) In GKE-Umgebungen entstehen zwei Datenpfade, die in Wazuh sauber zusammenspielen müssen: Cluster-/Workload- und Node-nahe Telemetrie (über Wazuh Agents im Cluster) sowie Cloud-Service-Logs (z. B. VPC Flow Logs, DNS, Firewall) – häufig über Pub/Sub. Wenn Agents zwar enrollen, im Dashboard aber fast nur „Agent started / disconnected“ erscheint, ist das meist … Weiterlesen

Wazuh Decoder: Warum user als dstuser erscheint

von

Problem Ihr habt einen Custom-Decoder für Trellix/McAfee Web Gateway gebaut und extrahiert usrName erfolgreich: Sobald ihr aber versucht, das Feld auf einen „statischen“ Namen zu ändern … … taucht das Ergebnis nicht als user, sondern als dstuser auf. Ursache Das ist kein Bug in eurem Regex, sondern erwartetes Verhalten: Darum wird aus <order>user</order> immer dstuser, … Weiterlesen