Alles rund ums Thema Wazuh
In Wazuh werden Events pro Sekunde gezählt, d.h. es ist immer was los. Doch wer alarmiert uns wenn Wazuh keine Daten mehr in den Index schreibt, oder ein spezifischer Agent keine Events mehr schickt? Kevin Branch, ein Wazuh Ambassador Kollege hat sich dem Thema befasst, viel Spaß beim lesen.
Man muss das Rad nicht immer 2mal erfinden. Ein Bekannter hat einen guten Artikel inkl. YouTube Video dazu veröffentlicht, in dem alles ganz gut beschrieben ist. Man muss es einmal selbst gemacht haben, ohne sich vorher noch die nächsten drei Schritte zu fragen. https://elwalikarkoub.substack.com/p/network-isolation-for-dfir-using Active-Response selbst ist natürlich auch in der Dokumentation von Wazuh selbst … Weiterlesen
Ich hatte eben einen interessanten Tech-Talk über die Roadmap von Wazuh mit einem der Techniker, in aller Kürze: Version 4.13 (vmtl. heute verfügbar)– Fokus auf IT-Hygiene– Einführung globaler Queries: Systemweite Abfragen zu laufenden Prozessen Abfragen offener Ports über alle angebundenen Systeme hinweg Version 4.14 (Ende Oktober)– Einführung eines AI Assistant, kompatibel mit beliebigen LLMs, für Analysten um … Weiterlesen
Hier ein Betrag aus dem Slack (von Hasitha Upekshitha) fürs Archiv: Das Timestamp-Feld bezieht sich in der Regel auf den Zeitpunkt, an dem ein Ereignis vom Quellsystem erzeugt oder aufgezeichnet wurde (z. B. vom überwachten Endpunkt, einer Anwendung oder einem Gerät), bevor es von Wazuh verarbeitet wird. Dieses Feld wird oft direkt aus dem Log … Weiterlesen
Da Microsoft die alten Webhooks deaktiviert, hier eine Anleitung wie man die Alerts mit PowerAutomate einrichtet: https://www.cylenth.blog/posts/wazuh-microsoft-teams-integration-workflows
Bei einem geplanten Upgrade von Ubuntu 20.04 auf 24.04 haben wir erst die VM mit Snapshot bestückt und dann den ganz normalen Weg wie er überall beschrieben ist gewählt: Geänderte Defaults nicht überschreiben lassen und Dienste neu starten lassen, kein großes Ding. Bei 22.04 kurz geprüft ob alle Dienste laufen und neue Logs in der … Weiterlesen
In Wazuh gibt es bereits eine Regel um fehlgeschlagene Logins zu erkennen: Allerdings basiert diese Regel auf 60107, also Failed attempt to perform a privileged operation Eventuell interessieren uns aber Brute Force Attacken, dazu benötigen wir einen Match auf 60122:
Wazuh reichert per default nur die Quell IP mit Geo-Daten an. Geht es aber um Data-Loss Prevention, will man ja auch wissen, wo die Pakete hin wandern. Dazu muss die Datei /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json angepasst werden. Danach noch filebeat setup –pipelines –modules wazuh und los gehts … Es gibt auch noch viel mehr Möglichkeiten, was man damit … Weiterlesen
Eine Migration eines OpenSearch-Clusters auf einen anderen Cluster kann auf verschiedene Arten durchgeführt werden. Hier sind einige Methoden und wie sie funktionieren: In der Praxis sind die ersten beiden Methoden (Snapshot und Restore sowie Reindex von Remote) die gebräuchlichsten und sichersten Ansätze zur Migration von OpenSearch-Clustern. Es ist wichtig, vor jeder Migration eine gründliche Planung … Weiterlesen
Der Restore einer Wazuh Installation ist mit ein paar wenigen Schritten problemlos möglich, eignet sich allerdings nicht für Upgrades: https://documentation.wazuh.com/4.4/user-manual/files-backup/restoring/index.html