Wazuh

Wazuh E-Mail-Alerts nach Agent-Gruppen filtern: Warum event_location nicht passt und welche Ansätze wirklich funktionieren

von

Einleitung E-Mail-Alerts sind in Wazuh ein bewährter „Last Mile“-Kanal für kritische Events – besonders, wenn ein SOC nicht permanent im Dashboard arbeitet oder bestimmte Betriebsgruppen (z. B. Business Units) eigene Benachrichtigungswege brauchen. Häufig lautet die Anforderung: „Sende Alerts nur für Agent-Gruppe X an Empfänger A und nur für Gruppe Y an Empfänger B.“Genau hier stößt … Weiterlesen

Warum mein Azure-Logs-Wodle in GCC High plötzlich keine Events mehr holt (und warum Debug-Level „2“ nicht die eigentliche Lösung ist)

von

Ausgangslage: Azure Logs laufen… und dann plötzlich nicht mehr User m letormd hatte eine Test-Wazuh-Umgebung (4.14.1), in der Azure-Logs zunächst sauber importiert wurden.Später – auch auf einer frischen Neuinstallation – passierte Folgendes: Spannend wurde es, als er Debugging aktivierte: Subjektiver Eindruck: „Mit Debug an scheint es plötzlich zu funktionieren, ohne nicht.“Das sieht so aus, als … Weiterlesen

Wazuh Decoder für UniFi CEF-Logs: Feld-Splitting, Formatabweichungen und Decoder-Konflikte sauber lösen

von

Einleitung CEF (Common Event Format) ist ein etabliertes Log-Format mit einem festen Header (Version|Vendor|Product|…) und einer variablen Extension als Key-Value-Liste. Genau diese Mischung sorgt in Wazuh häufig für zwei typische Probleme: Decoder „catcht“ nicht zuverlässig (wegen leicht abweichender CEF-Header-Darstellung) oder Decoder kollidiert mit anderen CEF-Decodern (weil die Prematches zu generisch sind). CEF selbst ist als … Weiterlesen

Wazuh Index-Patterns in Discover verbergen oder umbenennen: Was geht nicht – und welche Multi-Tenancy-Workarounds funktionieren

von

Einleitung Sobald Wazuh produktiv genutzt wird, taucht ein wiederkehrendes Bedürfnis auf: Nicht jeder Nutzer soll in OpenSearch Dashboards (Wazuh Dashboard) im Discover-Dropdown alle Index-Patterns sehen – vor allem nicht technische Wazuh-States- oder Vulnerability-Indizes wie wazuh-states-vulnerabilities-*. Gleichzeitig sollen die Nutzer aber weiterhin die Wazuh-Apps (z. B. Vulnerability/IT Hygiene/Endpoints) bedienen können. Genau an dieser Stelle kollidieren Erwartungen … Weiterlesen

Wazuh File Integrity Monitoring unter Windows: File-Limit, Datenbanküberlauf und MAX_PATH korrekt einordnen

von

Einleitung File Integrity Monitoring (FIM) gehört zu den zentralen Sicherheitsfunktionen von Wazuh und ist insbesondere auf Windows-Systemen ein häufig genutztes Werkzeug zur Überwachung kritischer Dateien und Verzeichnisse. In der Praxis stoßen Administratoren jedoch regelmäßig auf Warnungen über ein erreichtes Datei-Limit oder überlange Dateipfade. Dieser Artikel basiert auf einer realen Wazuh-Community-Diskussion und ordnet diese Meldungen technisch … Weiterlesen

Wazuh + AWS Security Hub (SQS Subscriber) und CloudTrail im selben aws-s3-Wodle: Wenn nur der erste Collector läuft

von

Einleitung Viele Wazuh-Deployments in AWS starten mit CloudTrail – zurecht, denn damit landen IAM-, API- und Control-Plane-Aktivitäten zuverlässig im SIEM. Der nächste logische Schritt ist die Anbindung von AWS Security Hub, um normalisierte Findings (ASFF) zentral zu korrelieren. In der Praxis scheitert das aber oft nicht an AWS selbst, sondern an der Art, wie das … Weiterlesen

Wazuh & MISP: Warum deine FIM-Alerts nicht „nachträglich“ angereichert werden können (und wie du es trotzdem löst)

von

Im Thread wollte Logitech Flames folgendes erreichen: Ergebnis: Die Frage war: „Wie bekomme ich die MISP-Metadaten in denselben Alert wie Rule 100100?“ 1. Wichtiger Grundsatz: Wazuh-Alerts sind „fertig“, sobald sie geschrieben sind [Wazuh] Hossam bringt den Knackpunkt ziemlich klar auf den Punkt: Wazuh-Alerts sind praktisch unveränderlich.Wenn ein Alert einmal ausgelöst und indiziert ist, wird er … Weiterlesen

SCA-Ergebnisse in Wazuh Dashboards visualisieren: Windows Screen Saver Compliance korrekt abbilden

von

EinleitungSecurity Configuration Assessment (SCA) ist eines der wirkungsvollsten Module in Wazuh, um Konfigurationsabweichungen auf Endpunkten frühzeitig zu erkennen. Gerade bei Windows-Systemen sind scheinbar einfache Einstellungen wie ein aktiver, passwortgeschützter Bildschirmschoner sicherheitsrelevant, da sie direkten Einfluss auf physische Zugriffsmöglichkeiten haben. In der Praxis entsteht jedoch häufig Verwirrung, wenn Administratoren versuchen, diese SCA-Ergebnisse in einem eigenen Wazuh-Dashboard … Weiterlesen

Wazuh Default-Regeln sicher tunen: Warum frequency/timeframe/ignore in 0016-wazuh_rules.xml scheitern – und wie du Rule 203/204 korrekt überschreibst

von

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) In produktiven Wazuh-Umgebungen ist „Alert Noise“ oft weniger ein Detection-Problem als ein Betriebsproblem: Zu viele legitime Ereignisse erzeugen Warnungen, SOC-Workflows werden überlastet und echte Incidents gehen unter. Gleichzeitig ist das Ruleset in Wazuh eng mit der Event-Pipeline (Agent → Manager → Queues → Analysis) verzahnt. Wer Default-Regeln direkt in den … Weiterlesen

OPNsense-WebGUI-Login-Logs korrekt dekodieren: Wenn der Solaris-Decoder dazwischenfunkt

von

Einleitung Beim Einbinden neuer Logquellen in Wazuh stoßen Einsteiger wie erfahrene Administratoren gleichermaßen auf ein wiederkehrendes Problem: Ein vorhandener Standard-Decoder greift „zu früh“ und verhindert die saubere Analyse eines eigentlich ganz anderen Logformats. Besonders häufig tritt dies bei Syslog-basierten Quellen auf, deren program_name generisch ist. Ein typisches Beispiel sind OPNsense-WebGUI-Logs, die durch den integrierten solaris_bsm-Decoder … Weiterlesen