Alles rund ums Thema Wazuh
In diesem Thread war der Kernfehler ein Missverständnis über den Datenfluss: Was Jitendra erwartet hat Warum 100622 nie feuern kann (so wie es gebaut ist) Die Regel 100622 matcht nicht Sysmon-Events – sie matcht Events, die bereits MISP-Felder enthalten, z. B.: Deine Sysmon-Roh-Events (EventChannel, EventID 22 / 1) enthalten aber kein integration:misp und kein misp.*.Also … Weiterlesen
In diesem Thread ging es um ein Problem, das in der Praxis extrem häufig ist: Hier ist die Essenz + die eigentliche Root Cause-Kette. 1) Warum Logtest funktioniert, aber live nicht wazuh-logtest prüft nur: Live passiert zusätzlich: Heißt: Logtest kann “grün” sein, obwohl die Integration live an einer anderen Stelle bricht. 2) Der echte Showstopper: … Weiterlesen
Was wirklich passiert, wenn API-Antworten größer als 1 MB werden Das <office365>-Modul von Wazuh nutzt die Office 365 Management Activity API, um Audit-Logs aus Microsoft 365 abzurufen. In produktiven Tenants taucht dabei früher oder später eine Konfigurationsoption auf, die Fragen aufwirft: Was bedeutet dieses Limit genau? Wann wird es überschritten? Und ist es gefährlich, es … Weiterlesen
Einleitung Viele Wazuh–MISP-Anleitungen demonstrieren die Integration anhand von Datei-Hashes (z. B. FIM-basierte Use-Cases). In realen SIEM-Setups – besonders mit Firewalls – ist jedoch häufig der IP-basierte IOC-Abgleich entscheidend: „Ist die zugelassene oder geblockte Gegenstelle malicious?“ Die gute Nachricht: Aus Sicht des Wazuh Managers macht es keinen Unterschied, ob Logs direkt vom Agent kommen oder über … Weiterlesen
Im Thread wollte Logitech Flames folgendes erreichen: Ergebnis: Die Frage war: „Wie bekomme ich die MISP-Metadaten in denselben Alert wie Rule 100100?“ 1. Wichtiger Grundsatz: Wazuh-Alerts sind „fertig“, sobald sie geschrieben sind [Wazuh] Hossam bringt den Knackpunkt ziemlich klar auf den Punkt: Wazuh-Alerts sind praktisch unveränderlich.Wenn ein Alert einmal ausgelöst und indiziert ist, wird er … Weiterlesen
Das MISP-Team hat einen neuen Guide für Performance-Tuning eurer Instanz veröffentlicht
In unserem letzten Beitrag MISP Updates und Notes haben wir gelernt, dass das cachen von Feeds allein für die Abfrage in Wazuh nicht reicht. Um die Feeds auch für die Integration in Wazuh durchsuchbar zu machen, müssen diese komplett gefetched werden. Automatisieren lässt sich das ganz einfach per Cronjob mit dem Kommando: Die Nummer 2 … Weiterlesen
Habe heute MISP von 2.5.7 auf 2.5.8 hochgezogen, so wie ich es schon in Update von MISP im 2.4 branch beschrieben habe. Die gecachten Feeds nur im Feedcache zu aktualisieren bringt für die Abfrage in Wazuh nichts. Man muss die kompletten Feed-Daten über den Button Fetch and store all feed data laden. Über Home -> … Weiterlesen
Den geringsten Aufwand bei der Installation von MISP 2.5 hat man mit Ubuntu 24.04 LTS. Es gibt zwar einige Anleitungen die auch mit 22.04 funktionieren wie hier: https://medium.com/@boristheblade1/installing-misp-2-5-and-basic-api-usage-ccfbee4177a9 Wer es aber nicht ganz so frickelig mag, macht das straight-forward mit Ubuntu 24.04. Ich habe dazu eine kleine VM bei Hetzner erstellt und mit dem Image … Weiterlesen
Beim Einrichten von Wazuh und MISP kann es am Anfang schon mal zu Schwierigkeiten kommen, da das Integrationsscript nicht wirklich gesprächig ist. Um hier etwas mehr Sichtbarkeit in MISP zu bekommen, lohnt es sich das auth debug zu aktivieren: Ganz einfach über Administration, Server Settings & Maintenance, MISP zu finden. Danach erscheinen die Abfragen über … Weiterlesen