Wazuh Active-Response einfach erklärt

von

Man muss das Rad nicht immer 2mal erfinden. Ein Bekannter hat einen guten Artikel inkl. YouTube Video dazu veröffentlicht, in dem alles ganz gut beschrieben ist. Man muss es einmal selbst gemacht haben, ohne sich vorher noch die nächsten drei Schritte zu fragen. https://elwalikarkoub.substack.com/p/network-isolation-for-dfir-using Active-Response selbst ist natürlich auch in der Dokumentation von Wazuh selbst … Weiterlesen

Wazuh Roadmap

von

Ich hatte eben einen interessanten Tech-Talk über die Roadmap von Wazuh mit einem der Techniker, in aller Kürze: Version 4.13 (vmtl. heute verfügbar)– Fokus auf IT-Hygiene– Einführung globaler Queries: Systemweite Abfragen zu laufenden Prozessen Abfragen offener Ports über alle angebundenen Systeme hinweg Version 4.14 (Ende Oktober)– Einführung eines AI Assistant, kompatibel mit beliebigen LLMs, für Analysten um … Weiterlesen

Was ist in Wazuh der Unterschied von timestamp und @timestamp

von

Hier ein Betrag aus dem Slack (von Hasitha Upekshitha) fürs Archiv: Das Timestamp-Feld bezieht sich in der Regel auf den Zeitpunkt, an dem ein Ereignis vom Quellsystem erzeugt oder aufgezeichnet wurde (z. B. vom überwachten Endpunkt, einer Anwendung oder einem Gerät), bevor es von Wazuh verarbeitet wird. Dieses Feld wird oft direkt aus dem Log … Weiterlesen

Keine neuen Alerts nach Upgrade von Ubuntu 20.04 auf 24.04

von

Bei einem geplanten Upgrade von Ubuntu 20.04 auf 24.04 haben wir erst die VM mit Snapshot bestückt und dann den ganz normalen Weg wie er überall beschrieben ist gewählt: Geänderte Defaults nicht überschreiben lassen und Dienste neu starten lassen, kein großes Ding. Bei 22.04 kurz geprüft ob alle Dienste laufen und neue Logs in der … Weiterlesen