Alles rund ums Thema Wazuh
In Wazuh gibt es bereits eine Regel um fehlgeschlagene Logins zu erkennen: Allerdings basiert diese Regel auf 60107, also Failed attempt to perform a privileged operation Eventuell interessieren uns aber Brute Force Attacken, dazu benötigen wir einen Match auf 60122:
Wazuh reichert per default nur die Quell IP mit Geo-Daten an. Geht es aber um Data-Loss Prevention, will man ja auch wissen, wo die Pakete hin wandern. Dazu muss die Datei /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json angepasst werden. Danach noch filebeat setup –pipelines –modules wazuh und los gehts … Es gibt auch noch viel mehr Möglichkeiten, was man damit … Weiterlesen
Kam bei mir jetzt schon 2 mal dass die Wazuh API nach dem Update auf 4.8 nicht erreichbar ist. Die Lösung war dann relativ einfach: /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml Voher: hosts: Nachher: hosts:
Nachdem wir hier Wege aufgezeigt haben, wie man Cross Cluster Search in Wazuh realisieren kann, hat Wazuh mittlerweile auch einen Blogpost dazu verfasst. https://wazuh.com/blog/managing-multiple-wazuh-clusters-with-cross-cluster-search/
Ein Update vom MISP Core is relativ einfach. Login auf MISP und zu Administration -> Server settings & maintenance -> Diagnostics, dann auf „Update MISP“. Das wars schon 🙂
Einleitung Die Integration von Office 365 (O365) in Sicherheits- und Überwachungslösungen wie Wazuh ist entscheidend für Unternehmen, die eine hohe Transparenz über ihre Cloud-Dienste und eine verbesserte Reaktionsfähigkeit auf Sicherheitsvorfälle anstreben. Wazuh, bekannt für seine vielseitigen Möglichkeiten zur Überwachung der Sicherheit, bietet auch für die Integration von O365 eine ausgezeichnete Dokumentation und Unterstützung. Herausforderungen bei … Weiterlesen
Vor ein paar Tagen habe ich bei einigen Agents im Wazuh Cluster die Agenten zwar verbunden gesehen, aber keine einkommenden Events. Also los zum Loadbalancer und schauen ob die Pakete auf 1514 ankommen und an die Worker geleitet werden. Das war dann auch so, allerdings wurden die Logs nur nie angezeigt, wenn der Loadbalancer die … Weiterlesen
Um in Wazuh bestimmte Felder zu anonymisieren bzw. pseudonymisieren hat ein Wazuh-Mitarbeiter 2 Videos online gestellt (englisch). Da freut sich der Betriebsrat!
Auf unserem internen Wazuh Cluster (3 Nodes) habe ich zum Test auf allen Node einen Snapshot gemacht und dann mit der Holzhammer-Methode von 4.5.2 auf 4.6 hochgezogen Erst auf dem Master, reboot, dann Node1, reboot, dann Node2, reboot. Hat problemlos funktioniert (Debian 12.2). Für Produktivumgebungen und vor allem ohne Snapshots auf keinen Fall nachahmen 🙂
Um einen 3-Node OpenSearch Cluster aufzusetzen und zu betreiben ist nicht viel Knowhow notwendig, hin und wieder lohnt es sich aber mal die KI nach den best practice Umsetzungen zu befragen. Prinzipiell decken sich diese mit meinen Erfahrungen im Betrieb mit Wazuh, aber es schadet sich nicht eine zweite Meinung von höherer Intelligenz einzuholen. Frage: … Weiterlesen