DNS Requests via Wazuh an AlienVault senden
Mit dem Sysmon Agent lassen sich DNS Requests über EventID 22 via Manager an AlienVault OTX schicken und prüfen: https://github.com/juaromu/wazuh-domain-stats-alienvault
Wazuh-Index auf andere Partition schieben
Wenn ihr Wazuh frisch installiert und extra einen Mount für den Index geladen habt, müsst ihr diese in der /etc/wazuh-indexer/opensearch.yml anpassen. Bitte dann im Anschluss noch den chown -R wazuh-indexer:wazuh-indexer auf den Ordner nicht vergessen. Anschließend Dienst neu start und dann: /usr/share/wazuh-indexer/bin/indexer-security-init.shDanach am besten noch ein sauberer Reboot und alles läuft auf der neuen Partition.Siehe:https://documentation.wazuh.com/current/user-manual/wazuh-indexer-cluster.html#using-the-securityadmin-script
Abgeschnittene Reports in Wazuh
Wer sich größere Reports wie z.B. Dashboards aus Wazuh exportiert, wird sicherlich mitbekommen, dass irgendwann ein cut drin ist. Angeblich wird das mit Opensearch 2.17 gefixt, was mit Wazuh 5 dann released wird https://github.com/opensearch-project/dashboards-reporting/pull/395
Wazuh Agent Intune deployment
Hier ein gutes Repository für Enrollment via Intune: https://github.com/heshan-basnayaka/wazuh-agent-intune-automation Eventuell müssen noch die Quotes aus dem Befehl. Hier noch ein paar Alternativen: Deploying Wazuh agents using ManageEngine https://wazuh.com/blog/deploying-wazuh-agent-using-windows-gpo/ Deploying Wazuh agents to Windows endpoints with PDQ Deploy
Mehrfach fehlgeschlagene Windows-Logins erkennen
In Wazuh gibt es bereits eine Regel um fehlgeschlagene Logins zu erkennen: Allerdings basiert diese Regel auf 60107, also Failed attempt to perform a privileged operation Eventuell interessieren uns aber Brute Force Attacken, dazu benötigen wir einen Match auf 60122:
Ziel-IP in Wazuh auch mit Geo-Daten anreichern
Wazuh reichert per default nur die Quell IP mit Geo-Daten an. Geht es aber um Data-Loss Prevention, will man ja auch wissen, wo die Pakete hin wandern. Dazu muss die Datei /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json angepasst werden. Danach noch filebeat setup –pipelines –modules wazuh und los gehts … Es gibt auch noch viel mehr Möglichkeiten, was man damit … Weiterlesen
Wazuh API nach Update auf 4.8 nicht erreichbar
Kam bei mir jetzt schon 2 mal dass die Wazuh API nach dem Update auf 4.8 nicht erreichbar ist. Die Lösung war dann relativ einfach: /usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml Voher: hosts: Nachher: hosts:
Cross Cluster Search, jetzt auch offiziell
Nachdem wir hier Wege aufgezeigt haben, wie man Cross Cluster Search in Wazuh realisieren kann, hat Wazuh mittlerweile auch einen Blogpost dazu verfasst. https://wazuh.com/blog/managing-multiple-wazuh-clusters-with-cross-cluster-search/
MISP Update
Ein Update vom MISP Core is relativ einfach. Login auf MISP und zu Administration -> Server settings & maintenance -> Diagnostics, dann auf „Update MISP“. Das wars schon 🙂
O365 Monitoring mit Wazuh mit mehreren Tenants und RBAC
Einleitung Die Integration von Office 365 (O365) in Sicherheits- und Überwachungslösungen wie Wazuh ist entscheidend für Unternehmen, die eine hohe Transparenz über ihre Cloud-Dienste und eine verbesserte Reaktionsfähigkeit auf Sicherheitsvorfälle anstreben. Wazuh, bekannt für seine vielseitigen Möglichkeiten zur Überwachung der Sicherheit, bietet auch für die Integration von O365 eine ausgezeichnete Dokumentation und Unterstützung. Herausforderungen bei … Weiterlesen