Wazuh

Wer sein Synology NAS mit Wazuh überwacht, stolpert früher oder später über Community-Projekte wie dieses: GitHub: Tomo-9925 / wazuh-synology-dsm-decoder-and-rules– synology-rules.xml (Regeln)– synology-syslog.xml (Decoder) Genau das wollte auch ein User im Wazuh-Community-Channel einbinden – und bekam nur: XML syntax error Die Ursache war am Ende nicht „kaputte XML“, sondern die Reihenfolge & Vollständigkeit der Integration. 1. … Weiterlesen

Einleitung Erfolgreiche Windows-Anmeldungen (EventID 4624) gehören zu den zentralen Telemetriedaten in Wazuh-Umgebungen. Gleichzeitig erzeugen sie ein enormes Datenvolumen, da nahezu jede lokale, Netzwerk- oder Dienstanmeldung dieses Event auslöst. Für viele Security- und SOC-Use-Cases sind jedoch nur bestimmte Anmeldearten relevant – insbesondere Remote Desktop (RDP), das über LogonType 10 abgebildet wird. Dieser Artikel zeigt, wie sich … Weiterlesen

Einleitung Netzwerkgeräte wie Access Points liefern häufig sehr hilfreiche Telemetrie: MAC-Adressen, Quell-/Ziel-IP, Protokoll und Ports. Für Security-Teams sind das ideale Datenpunkte, um laterale Bewegung, ungewöhnliche Verbindungen oder auffällige Client-Aktivität frühzeitig zu erkennen. Damit Wazuh diese Informationen regelbasiert auswerten kann, müssen die Rohlogs jedoch korrekt dekodiert werden. In der Praxis scheitert das oft daran, dass statt … Weiterlesen

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Vulnerability Detection ist in Wazuh ein zentrales Hygiene- und Exposure-Signal: Es korreliert die Software-Inventardaten der Agents mit Vulnerability-Intelligence und macht Schwachstellen im Dashboard und via Alerts sichtbar. Gerade auf Debian 12/13 sorgt dieses Feature aber immer wieder für Frust, wenn nach einer frischen Installation scheinbar „Hunderte bis Tausende“ CVEs auftauchen, … Weiterlesen

Wer mit Windows-Events in Wazuh arbeitet, landet früher oder später hier:Die Konsole ist voll mit ganz normalen, technischen Logons, vor allem Event ID 4624 (Logon Success) – z. B. Service-Logons über services.exe.Kein Angriff, kein Risiko – aber jede Menge Lärm. Genau das wollte Kashif in seinem Test-Setup lösen:„Wie unterdrücke ich nur diese Routine-Logons, ohne andere … Weiterlesen

Einleitung Windows BitLocker ist in vielen Umgebungen ein Sicherheitsanker – gerade deshalb sind Events wie „BitLocker was suspended“ operativ relevant: Sie können auf Wartungsfenster, policy-gesteuerte Änderungen oder auch auf ein Risiko (Schutz temporär deaktiviert) hinweisen. Wenn solche Ereignisse in Wazuh zwar in archives.log auftauchen, aber im Dashboard nicht sichtbar sind und Custom Rules nur bei … Weiterlesen

Einleitung Cloudflare stellt umfangreiche Logs zu Web-Anfragen, Firewall-Events und Audit-Daten bereit, die für Sicherheits- und Vorfallanalysen in modernen SIEM-Umgebungen essenziell sind. Wazuh als Open-Source-SIEM/EDR-Plattform kann diese Daten nicht „out-of-the-box“ direkt aus Cloudflare empfangen, bietet aber flexible Mechanismen zur Ingestion über Cloud-Storage-Ziele oder API-basierte Lösungen. Dieser Beitrag zeigt die verschiedenen technischen Pfade, Voraussetzungen und praktische Implementierungsschritte … Weiterlesen