Alles rund ums Thema Wazuh
Bei einem geplanten Upgrade von Ubuntu 20.04 auf 24.04 haben wir erst die VM mit Snapshot bestückt und dann den ganz normalen Weg wie er überall beschrieben ist gewählt: Geänderte Defaults nicht überschreiben lassen und Dienste neu starten lassen, kein großes Ding. Bei 22.04 kurz geprüft ob alle Dienste laufen und neue Logs in der … Weiterlesen
In Wazuh gibt es bereits eine Regel um fehlgeschlagene Logins zu erkennen: Allerdings basiert diese Regel auf 60107, also Failed attempt to perform a privileged operation Eventuell interessieren uns aber Brute Force Attacken, dazu benötigen wir einen Match auf 60122:
Wazuh reichert per default nur die Quell IP mit Geo-Daten an. Geht es aber um Data-Loss Prevention, will man ja auch wissen, wo die Pakete hin wandern. Dazu muss die Datei /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json angepasst werden. Danach noch filebeat setup –pipelines –modules wazuh und los gehts … Es gibt auch noch viel mehr Möglichkeiten, was man damit … Weiterlesen
Eine Migration eines OpenSearch-Clusters auf einen anderen Cluster kann auf verschiedene Arten durchgeführt werden. Hier sind einige Methoden und wie sie funktionieren: In der Praxis sind die ersten beiden Methoden (Snapshot und Restore sowie Reindex von Remote) die gebräuchlichsten und sichersten Ansätze zur Migration von OpenSearch-Clustern. Es ist wichtig, vor jeder Migration eine gründliche Planung … Weiterlesen
Der Restore einer Wazuh Installation ist mit ein paar wenigen Schritten problemlos möglich, eignet sich allerdings nicht für Upgrades: https://documentation.wazuh.com/4.4/user-manual/files-backup/restoring/index.html
Ein Beitrag in der Wazuh Google Group wie man FortiEDR in Wazuh erkannt bekommt https://groups.google.com/g/wazuh/c/MGoxLw29L5Y
Der letzte Teil der ausführlichen Blogserie über die Agent Konfiguration von Wazuh