Alles rund ums Thema Wazuh
Gehen wir davon aus, dass nur eine begrenzte Menge an Festplattenspeicher für Wazuh zur Verfügung steht. Um nicht blind alle Index älter als X Tage löschen zu müssen, können wir auf die Index einzeln nach unwichtigeren Meldungen durchgehen und nur diese entfernen (auf eigenes Risiko!). Wollt ihr zum Beispiel die simplen Windows Logoff Meldungen raus … Weiterlesen
…. findet ihr hier Windows Defender Anomalien erkennen
Heute wollen wir anhand eines Searchstrings – oder use-case – ein eigenes Dashboard bauen. Dazu gehen wir im Hauptmenü auf Threat Hunting und in Events fügen wir den Filter rule.id is 60204 hinzu. Das speichern wir indem wir links neben dem Suchfeld auf die Diskette klicken. Wir man sieht finden wir damit gehäufte falsche Windowsanmeldungen … Weiterlesen
Ein guter Artikel rund um Snapshots in Opensearch, auch für Wazuh recht interessant wenn es um Restore geht. https://sematext.com/blog/elasticsearch-delete-index/
Aktuelle Settings laden Entfernten Cluster hinzufügen Cluster wieder löschen Nicht-erreichbaren Remote Cluster ignorieren Bitte nicht vergessen im Stack Management einen Index Pattern für den Remote Cluster einzutragen:
Beide Cluster sollten am besten mit der gleichen CA installiert worden sein. Dazu am besten in Cluster 1 die unattended installation, dann die Zertifikate auf den zweiten Cluster kopieren und für diesen die step-by-step Methode wählen. Dort wird mit dem cert-tool gearbeitet und somit kann auch die bereits verwendete CA genommen werden. Als Nodes in … Weiterlesen
Um z.B. die Lifetime von Wazuh JWT Token anzupassen, muss im Cluster der Wert über die API Console angepasst werden. Dazu einfach in das Dashboard einloggen und zu „Wazuh -> Tools -> API Console“. Dort kann das aktuelle Setting über GET /seurity/config abgefragt werden. Um die Lifetime von 900 Sekunden auf 1800 Sekunden zu erhöhen, … Weiterlesen
Sehr detaillierte Beschreibung wie die Queue von einem Wazuh Agent funktioniert: https://documentation.wazuh.com/current/user-manual/agents/antiflooding.html
Eine Migration eines OpenSearch-Clusters auf einen anderen Cluster kann auf verschiedene Arten durchgeführt werden. Hier sind einige Methoden und wie sie funktionieren: In der Praxis sind die ersten beiden Methoden (Snapshot und Restore sowie Reindex von Remote) die gebräuchlichsten und sichersten Ansätze zur Migration von OpenSearch-Clustern. Es ist wichtig, vor jeder Migration eine gründliche Planung … Weiterlesen
Der Restore einer Wazuh Installation ist mit ein paar wenigen Schritten problemlos möglich, eignet sich allerdings nicht für Upgrades: https://documentation.wazuh.com/4.4/user-manual/files-backup/restoring/index.html