Wazuh-Blog

EinleitungDer Betrieb von Wazuh in Kubernetes-Umgebungen wie AWS EKS bringt klare Vorteile bei Skalierung und Hochverfügbarkeit, legt aber auch Verhaltensweisen offen, die in klassischen VM-Deployments weniger auffallen. Zwei besonders kritische Symptome treten dabei immer wieder auf: stetig wachsender Speicherverbrauch von wazuh-manager-worker-Pods und exakt periodische CPU-Spikes, die ganze Nodes destabilisieren können. Dieser Artikel ordnet beide Effekte … Weiterlesen

EinleitungPasswortrotation ist in produktiven SIEM-/XDR-Umgebungen Pflicht – aber in verteilten Wazuh-Deployments kann ein unvollständig durchgezogener Passwortwechsel schnell zum Totalausfall des Dashboards führen. Typisches Symptom: opensearch-dashboards wirft fortlaufend [ResponseError], während der Manager und der Indexer scheinbar „laufen“. Dieser Artikel erklärt die häufigsten Ursachen in der Wazuh-Architektur, warum wazuh-passwords-tool.sh auf dem Manager nur die Help-Page ausgibt oder … Weiterlesen

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Ein klassischer „SIEM-Albtraum“ im Wazuh-Betrieb: Ereignisse werden korrekt dekodiert, Regeln feuern, Alerts werden sauber nach alerts.json geschrieben – aber im Dashboard ist nichts zu sehen. In fast allen Fällen ist das kein UI-Problem, sondern ein Indexing-Problem: Filebeat versucht Alerts in den Wazuh Indexer zu schreiben, wird aber wegen Mapping-Konflikten (Field-Typen) … Weiterlesen

EinleitungSoftware-Inventar und Konfigurations-Compliance gehören zu den zuverlässigsten Indikatoren für Drift, Shadow-IT und potenziell riskante Veränderungen auf Endpoints. Wazuh bringt dafür zwei wichtige Bausteine mit: System Inventory (Syscollector) für installierte Pakete/Programme und Security Configuration Assessment (SCA) für Policy-basierte Checks. Die häufige Anforderung aus dem Betrieb: „Bitte monatlich per E-Mail eine Übersicht, welche Endpoints vom Baseline-Stand abweichen … Weiterlesen

Einleitung SSH-Authentifizierungslogs sind eine zentrale Datenquelle für die Angriffserkennung in Wazuh. Gerade bei fehlgeschlagener Schlüssel-Authentifizierung („key-based auth required“) liefern sshd-Logs wichtige Hinweise auf Fehlkonfigurationen oder gezielte Angriffsversuche.Damit diese Ereignisse zuverlässig in Regeln verarbeitet werden können, ist eine korrekte Decoder-Strategie entscheidend – insbesondere bei lokalen Anpassungen. Dieser Artikel basiert auf einem realen Community-Fall und zeigt praxisnah, … Weiterlesen

Einleitung Cisco-IOS-Syslog ist in vielen Netzwerken eine der wichtigsten Telemetriequellen für Zugriffskontrolle und Incident Response. Gerade erfolgreiche Logins sind für Security-Teams relevant (z. B. für Anomalieerkennung, Laterale Bewegung, Valid-Accounts-Missbrauch). Wazuh bringt zwar bereits Cisco-IOS-Decoder und Regeln mit – in der Praxis möchte man aber oft eigene Felder extrahieren und eigene Alerts erzeugen, ohne die Standardregeln … Weiterlesen

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Single Sign-on (SSO) über Microsoft Entra ID ist in vielen SIEM-Umgebungen ein Muss: zentrale Identitäten, MFA, kontrollierte Rollenvergabe und nachvollziehbare Zugriffe auf Dashboards. In Wazuh basiert SSO (SAML) im Kern auf der OpenSearch-Security-Konfiguration des Wazuh Indexers und erfordert ein sauberes Zusammenspiel aus YAML-Struktur, Dateipfaden und dem korrekten Einsatz von securityadmin.sh. … Weiterlesen

Einleitung Forcepoint DLP liefert für SIEM-Integrationen häufig CEF über Syslog. Auf dem Papier ist das ideal: ein standardisierter CEF-Header plus Extension als Key-Value-Paare. In der Praxis scheitert die Dekodierung in Wazuh aber oft genau dort, wo DLP-Events wertvoll werden: bei freien Textfeldern und Policy-/Kategorie-Namen mit Leerzeichen, Sonderzeichen oder Doppelpunkten. Das führt zu unvollständigen Feldern und … Weiterlesen