Alles rund ums Thema Wazuh
Beim Einrichten von Wazuh und MISP kann es am Anfang schon mal zu Schwierigkeiten kommen, da das Integrationsscript nicht wirklich gesprächig ist. Um hier etwas mehr Sichtbarkeit in MISP zu bekommen, lohnt es sich das auth debug zu aktivieren: Ganz einfach über Administration, Server Settings & Maintenance, MISP zu finden. Danach erscheinen die Abfragen über … Weiterlesen
Über die UI kann man in MISP keine Schedules für wiederkehrende Tasks einstellen. Am einfachsten ist hier die Variante über einen Cronjob: Dabei werden als User www-data (Webserver Ubuntu) alle Feeds mit dem User ID 1 (default admin) aktualisiert. Falls weitere User verwendet werden dann einfach die entsprechende ID anpassen. Im besten Fall kommen keine … Weiterlesen
Der Großteil alles Howtos im Netz findet man zu MISP 2.4 auf Ubuntu 22.04. Wenn ihr also diese Kombination installiert habt und 2.5 testen wollt, müsst ihr ein paar kleine Sachen beachten. Es gibt ein Update-Script was auch relativ zuverlässig funktioniert, allerdings nur mit Ubuntu 24.04! D.h. wir müssen erst einmal unsere Installation mit do-release-upgrade … Weiterlesen
Ein Update von MISP innerhalb des 2.4 Branch ist ganz einfach. Nach dem Login auf Administration und dann Server Settings & Maintenance: Anschließend auf den Reiter Diagnostics und Update MISP klicken Und das wars auch schon!
Habe einen neuen Artikel zur zentralen Verteilung von Agent-Konfigurationen in Wazuh veröffentlicht. Weiter gehts hier Zentralisierte Konfigurationsverteilung von Wazuh Agents
In einer aktuellen Slack-Diskussion innerhalb der Wazuh-Community hat ein Nutzer auf das Problem hingewiesen, dass ältere CVEs in Linux-Systemen als Sicherheitslücken angezeigt werden, obwohl die Systeme vollständig gepatcht sind. Das Wazuh-Team erklärte, dass die Schwachstellenlisten von den jeweiligen Distributionen gepflegt werden, in diesem Fall Ubuntu. Ein Update des Systems bedeutet nicht automatisch, dass alle CVEs … Weiterlesen
Als ich den Artikel über LDAP Nightmare hier gelesen habe und via LinkedIn Florian Roth einen Beitrag von Travis Green reposted hat, dachte ich mir, die Sigma Rule im PR hier kann man doch auch für Wazuh schreiben: Bei meinen Systemen hatte ich da keine großartigen False Positives, aber bitte mit Bedacht einsetzen.
Hier die Erklärung für alle Rule Level von Wazuh: 0IgnoriertKeine Maßnahmen ergriffen. Verwendet, um Fehlalarme zu vermeiden.Diese Regeln werden vor allen anderen gescannt, umfassen Ereignisse ohne Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 2Systembenachrichtigung mit niedriger PrioritätSystembenachrichtigungen oder Statusmeldungen. Diese haben keine Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 3Erfolgreiche/Autorisierte EreignisseDiese umfassen erfolgreiche Anmeldeversuche, Firewall-Erlaubnisereignisse usw. 4Systemfehler … Weiterlesen
Der große Vorteil von Wazuh ist der schlanke Manager der die Logs bearbeitet und auswertet und erst im Anschluss in den Index speichert. Will man allerdings einen Alert generieren, bzw eine Regel schreiben, für Werte die nach dem Enrichment gesetzt werden (u.a. GeoIP), müssen wir auf das native Alerting von Opensearch umschalten:
In der Suchleiste von Wazuh-Dashboard kann man auch eine Freifeldsuche ohne Filter durchführen. Die Query Syntax erlaubt aber keine Wildcards im String. Wer das doch benötigt, klickt auf einen neuen Filter und wechselt „Edit as Query DSL“: Hier aktuell um nach den verschiedensten verwundbaren 7-ZIP Version zu suchen!