Alles rund ums Thema Wazuh
Nachdem wir hier Wege aufgezeigt haben, wie man Cross Cluster Search in Wazuh realisieren kann, hat Wazuh mittlerweile auch einen Blogpost dazu verfasst. https://wazuh.com/blog/managing-multiple-wazuh-clusters-with-cross-cluster-search/
Ein Update vom MISP Core is relativ einfach. Login auf MISP und zu Administration -> Server settings & maintenance -> Diagnostics, dann auf „Update MISP“. Das wars schon 🙂
Einleitung Die Integration von Office 365 (O365) in Sicherheits- und Überwachungslösungen wie Wazuh ist entscheidend für Unternehmen, die eine hohe Transparenz über ihre Cloud-Dienste und eine verbesserte Reaktionsfähigkeit auf Sicherheitsvorfälle anstreben. Wazuh, bekannt für seine vielseitigen Möglichkeiten zur Überwachung der Sicherheit, bietet auch für die Integration von O365 eine ausgezeichnete Dokumentation und Unterstützung. Herausforderungen bei … Weiterlesen
Vor ein paar Tagen habe ich bei einigen Agents im Wazuh Cluster die Agenten zwar verbunden gesehen, aber keine einkommenden Events. Also los zum Loadbalancer und schauen ob die Pakete auf 1514 ankommen und an die Worker geleitet werden. Das war dann auch so, allerdings wurden die Logs nur nie angezeigt, wenn der Loadbalancer die … Weiterlesen
Um in Wazuh bestimmte Felder zu anonymisieren bzw. pseudonymisieren hat ein Wazuh-Mitarbeiter 2 Videos online gestellt (englisch). Da freut sich der Betriebsrat!
Auf unserem internen Wazuh Cluster (3 Nodes) habe ich zum Test auf allen Node einen Snapshot gemacht und dann mit der Holzhammer-Methode von 4.5.2 auf 4.6 hochgezogen Erst auf dem Master, reboot, dann Node1, reboot, dann Node2, reboot. Hat problemlos funktioniert (Debian 12.2). Für Produktivumgebungen und vor allem ohne Snapshots auf keinen Fall nachahmen 🙂
Um einen 3-Node OpenSearch Cluster aufzusetzen und zu betreiben ist nicht viel Knowhow notwendig, hin und wieder lohnt es sich aber mal die KI nach den best practice Umsetzungen zu befragen. Prinzipiell decken sich diese mit meinen Erfahrungen im Betrieb mit Wazuh, aber es schadet sich nicht eine zweite Meinung von höherer Intelligenz einzuholen. Frage: … Weiterlesen
Ein guter Artikel rund um Snapshots in Opensearch, auch für Wazuh recht interessant wenn es um Restore geht. https://sematext.com/blog/elasticsearch-delete-index/
Aktuelle Settings laden Entfernten Cluster hinzufügen Cluster wieder löschen Nicht-erreichbaren Remote Cluster ignorieren Bitte nicht vergessen im Stack Management einen Index Pattern für den Remote Cluster einzutragen:
Beide Cluster sollten am besten mit der gleichen CA installiert worden sein. Dazu am besten in Cluster 1 die unattended installation, dann die Zertifikate auf den zweiten Cluster kopieren und für diesen die step-by-step Methode wählen. Dort wird mit dem cert-tool gearbeitet und somit kann auch die bereits verwendete CA genommen werden. Als Nodes in … Weiterlesen