Allgemein

Ein weiterer Artikel in der Dashboard-Serie die Benutzeränderungen anhand der win_group_changed Gruppe erkennt und gleichzeitig Computerkonten ausfiltert. Wie du mit dem Wazuh-Dashboard zuverlässig Computerkonten und irrelevante SIDs ausblendest

Habe einen neuen Artikel zur zentralen Verteilung von Agent-Konfigurationen in Wazuh veröffentlicht. Weiter gehts hier Zentralisierte Konfigurationsverteilung von Wazuh Agents

In einer aktuellen Slack-Diskussion innerhalb der Wazuh-Community hat ein Nutzer auf das Problem hingewiesen, dass ältere CVEs in Linux-Systemen als Sicherheitslücken angezeigt werden, obwohl die Systeme vollständig gepatcht sind. Das Wazuh-Team erklärte, dass die Schwachstellenlisten von den jeweiligen Distributionen gepflegt werden, in diesem Fall Ubuntu. Ein Update des Systems bedeutet nicht automatisch, dass alle CVEs … Weiterlesen

Als ich den Artikel über LDAP Nightmare hier gelesen habe und via LinkedIn Florian Roth einen Beitrag von Travis Green reposted hat, dachte ich mir, die Sigma Rule im PR hier kann man doch auch für Wazuh schreiben: Bei meinen Systemen hatte ich da keine großartigen False Positives, aber bitte mit Bedacht einsetzen.

Hier die Erklärung für alle Rule Level von Wazuh: 0IgnoriertKeine Maßnahmen ergriffen. Verwendet, um Fehlalarme zu vermeiden.Diese Regeln werden vor allen anderen gescannt, umfassen Ereignisse ohne Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 2Systembenachrichtigung mit niedriger PrioritätSystembenachrichtigungen oder Statusmeldungen. Diese haben keine Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 3Erfolgreiche/Autorisierte EreignisseDiese umfassen erfolgreiche Anmeldeversuche, Firewall-Erlaubnisereignisse usw. 4Systemfehler … Weiterlesen

Der große Vorteil von Wazuh ist der schlanke Manager der die Logs bearbeitet und auswertet und erst im Anschluss in den Index speichert. Will man allerdings einen Alert generieren, bzw eine Regel schreiben, für Werte die nach dem Enrichment gesetzt werden (u.a. GeoIP), müssen wir auf das native Alerting von Opensearch umschalten:

In der Suchleiste von Wazuh-Dashboard kann man auch eine Freifeldsuche ohne Filter durchführen. Die Query Syntax erlaubt aber keine Wildcards im String. Wer das doch benötigt, klickt auf einen neuen Filter und wechselt „Edit as Query DSL“: Hier aktuell um nach den verschiedensten verwundbaren 7-ZIP Version zu suchen!

Mit dem Sysmon Agent lassen sich DNS Requests über EventID 22 via Manager an AlienVault OTX schicken und prüfen: https://github.com/juaromu/wazuh-domain-stats-alienvault