Wazuh-Blog

In einer aktuellen Slack-Diskussion innerhalb der Wazuh-Community hat ein Nutzer auf das Problem hingewiesen, dass ältere CVEs in Linux-Systemen als Sicherheitslücken angezeigt werden, obwohl die Systeme vollständig gepatcht sind. Das Wazuh-Team erklärte, dass die Schwachstellenlisten von den jeweiligen Distributionen gepflegt werden, in diesem Fall Ubuntu. Ein Update des Systems bedeutet nicht automatisch, dass alle CVEs … Weiterlesen

Als ich den Artikel über LDAP Nightmare hier gelesen habe und via LinkedIn Florian Roth einen Beitrag von Travis Green reposted hat, dachte ich mir, die Sigma Rule im PR hier kann man doch auch für Wazuh schreiben: Bei meinen Systemen hatte ich da keine großartigen False Positives, aber bitte mit Bedacht einsetzen.

Hier die Erklärung für alle Rule Level von Wazuh: 0IgnoriertKeine Maßnahmen ergriffen. Verwendet, um Fehlalarme zu vermeiden.Diese Regeln werden vor allen anderen gescannt, umfassen Ereignisse ohne Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 2Systembenachrichtigung mit niedriger PrioritätSystembenachrichtigungen oder Statusmeldungen. Diese haben keine Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard. 3Erfolgreiche/Autorisierte EreignisseDiese umfassen erfolgreiche Anmeldeversuche, Firewall-Erlaubnisereignisse usw. 4Systemfehler … Weiterlesen

Der große Vorteil von Wazuh ist der schlanke Manager der die Logs bearbeitet und auswertet und erst im Anschluss in den Index speichert. Will man allerdings einen Alert generieren, bzw eine Regel schreiben, für Werte die nach dem Enrichment gesetzt werden (u.a. GeoIP), müssen wir auf das native Alerting von Opensearch umschalten:

In der Suchleiste von Wazuh-Dashboard kann man auch eine Freifeldsuche ohne Filter durchführen. Die Query Syntax erlaubt aber keine Wildcards im String. Wer das doch benötigt, klickt auf einen neuen Filter und wechselt „Edit as Query DSL“: Hier aktuell um nach den verschiedensten verwundbaren 7-ZIP Version zu suchen!

Mit dem Sysmon Agent lassen sich DNS Requests über EventID 22 via Manager an AlienVault OTX schicken und prüfen: https://github.com/juaromu/wazuh-domain-stats-alienvault

Wenn ihr Wazuh frisch installiert und extra einen Mount für den Index geladen habt, müsst ihr diese in der /etc/wazuh-indexer/opensearch.yml anpassen. Bitte dann im Anschluss noch den chown -R wazuh-indexer:wazuh-indexer auf den Ordner nicht vergessen. Anschließend Dienst neu start und dann: /usr/share/wazuh-indexer/bin/indexer-security-init.shDanach am besten noch ein sauberer Reboot und alles läuft auf der neuen Partition.Siehe:https://documentation.wazuh.com/current/user-manual/wazuh-indexer-cluster.html#using-the-securityadmin-script

Wer sich größere Reports wie z.B. Dashboards aus Wazuh exportiert, wird sicherlich mitbekommen, dass irgendwann ein cut drin ist. Angeblich wird das mit Opensearch 2.17 gefixt, was mit Wazuh 5 dann released wird https://github.com/opensearch-project/dashboards-reporting/pull/395

Hier ein gutes Repository für Enrollment via Intune: https://github.com/heshan-basnayaka/wazuh-agent-intune-automation Eventuell müssen noch die Quotes aus dem Befehl. Hier noch ein paar Alternativen: Deploying Wazuh agents using ManageEngine https://wazuh.com/blog/deploying-wazuh-agent-using-windows-gpo/ Deploying Wazuh agents to Windows endpoints with PDQ Deploy