Allgemein

Wazuh 4.7 → 4.14: Warum SMTP-Multiline-Logs „zerfallen“ und Decoder nur noch die erste Zeile sehen

von

Einleitung Beim Upgrade von Wazuh-Versionen fallen Decoder-Probleme oft erst im laufenden Betrieb auf: Regeln triggern nicht mehr, Felder bleiben leer oder es wird nur noch ein Bruchteil des erwarteten Events extrahiert. Ein besonders häufiger Auslöser ist nicht der Decoder selbst, sondern die Art, wie Wazuh Logzeilen zu Events gruppiert. Multiline-Formate (z. B. SMTP-Session-Traces) sind dafür … Weiterlesen

Wazuh arbeitet an Feature zur Filterung veralteter CVEs

von

In einer aktuellen Slack-Diskussion innerhalb der Wazuh-Community hat ein Nutzer auf das Problem hingewiesen, dass ältere CVEs in Linux-Systemen als Sicherheitslücken angezeigt werden, obwohl die Systeme vollständig gepatcht sind. Das Wazuh-Team erklärte, dass die Schwachstellenlisten von den jeweiligen Distributionen gepflegt werden, in diesem Fall Ubuntu. Ein Update des Systems bedeutet nicht automatisch, dass alle CVEs … Weiterlesen

Wazuh Rule to detect possible LDAP Nightmare CVE-2024-49113

von

Als ich den Artikel über LDAP Nightmare hier gelesen habe und via LinkedIn Florian Roth einen Beitrag von Travis Green reposted hat, dachte ich mir, die Sigma Rule im PR hier kann man doch auch für Wazuh schreiben: Bei meinen Systemen hatte ich da keine großartigen False Positives, aber bitte mit Bedacht einsetzen.

Wazuh Rule Level

von

Hier die Erklärung für alle Rule Level von Wazuh: 0IgnoriertKeine Maßnahmen ergriffen. Verwendet, um Fehlalarme zu vermeiden.Diese Regeln werden vor allen anderen gescannt, umfassen Ereignisse ohne Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 2Systembenachrichtigung mit niedriger PrioritätSystembenachrichtigungen oder Statusmeldungen. Diese haben keine Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 3Erfolgreiche/Autorisierte EreignisseDiese umfassen erfolgreiche Anmeldeversuche, Firewall-Erlaubnisereignisse usw. 4Systemfehler … Weiterlesen