Wazuh

Einleitung Die Vulnerability Detection ist eines der leistungsstärksten, aber auch am häufigsten missverstandenen Module in Wazuh. Gerade bei Testszenarien – etwa dem absichtlichen Installieren veralteter Pakete – entsteht schnell der Eindruck, dass Wazuh Schwachstellen „nicht erkennt“ oder „nicht anzeigt“. In der Praxis liegt die Ursache jedoch fast immer im Zusammenspiel aus Paket-Inventarisierung, Feed-Updates und der … Weiterlesen

Einleitung Ein neu installiertes Wazuh-System ist funktional sofort einsatzbereit – sicherheitstechnisch jedoch nur dann, wenn Standardpasswörter konsequent ersetzt werden. Gerade in produktiven oder internetnahen Umgebungen ist das Ändern der Default-Zugänge für Dashboard, Indexer und Manager ein absolutes Muss. Dieser Beitrag erklärt sauber getrennt, welche Passwörter es in Wazuh überhaupt gibt, wie sie technisch zusammenhängen und … Weiterlesen

Einleitung Beim Bau eigener Wazuh-Rulesets entsteht schnell der Wunsch nach einer „Auffangregel“: Alles, was nicht spezifisch gematcht wird, soll trotzdem klassifiziert, geloggt und später analysierbar sein. Genau hier stolpern viele – weil Wazuh Regeln nicht nach Rule-ID priorisiert, sondern nach Evaluierungslogik (insbesondere Severity/Level, Rule-Chain und Matching). Das Ergebnis: Eine Catch-all-Regel feuert immer, während die eigentlich … Weiterlesen

Einleitung pfSense ist in vielen Umgebungen nicht nur ein Firewall-Gateway, sondern auch ein zentraler Audit-Punkt: WebGUI-Logins, Konfigurationsänderungen und das Anwenden von Filter-Regeln sind sicherheitsrelevant und gehören in ein SIEM. Wazuh eignet sich dafür hervorragend – allerdings stehen viele Integrationen und “funktioniert nur teilweise”-Symptome nicht im Zeichen falscher Regex, sondern in der falschen Kopplung zwischen Decoder-Ausgabe … Weiterlesen

Einleitung Upgrades der zentralen Wazuh-Komponenten (Manager, Indexer, Dashboard) gehören zum regulären Betrieb einer SIEM-Plattform. In der Praxis führt ein Versionssprung jedoch häufig zu Verunsicherung, wenn Agents nach dem Upgrade plötzlich als Pending erscheinen, nicht mehr Active sind oder ganz aus dem Dashboard verschwinden. Dieser Artikel fasst eine umfangreiche Community-Diskussion zusammen und zeigt, wie Agent-Status nach … Weiterlesen

Einleitung In vielen Security-Use-Cases ist nicht jede erkannte Aktivität gleich relevant. Besonders bei Webangriffen, Authentifizierungsereignissen oder IDS-Alerts ist es oft sinnvoll, interne (private) Quell-IP-Adressen auszuschließen und den Fokus auf öffentliche, potenziell externe Angreifer zu legen. In Wazuh scheint dies auf den ersten Blick trivial – etwa durch einen Regex im <srcip>-Feld. In der Praxis führt … Weiterlesen

Einleitung Viele Anwendungen und Appliances können Logs ausschließlich per Syslog oder HTTP ausliefern. In Wazuh-Umgebungen stellt sich daher regelmäßig die Frage, wie solche Daten zuverlässig, strukturiert und regelbasiert ausgewertet werden können. Obwohl Wazuh einen nativen Syslog-Empfang bietet, zeigen Community-Diskussionen und Best Practices, dass der Weg über dateibasierte Logsammlung häufig stabiler und flexibler ist. Dieser Artikel … Weiterlesen

Einleitung Die IT Hygiene-Sektion im Wazuh Dashboard bietet eine zentrale Übersicht über Inventarisierungs- und Konfigurationsdaten (z. B. OS-Details, installierte Software, Prozesse, Netzwerk) aus allen überwachten Endpunkten. Diese Daten werden von den Syscollector-Modulen der Agenten gesammelt, in der Wazuh Indexer-Datenbank aggregiert und im Dashboard visualisiert. Wazuh Dokumentation Wenn in dieser Sektion jedoch nur „No results match … Weiterlesen

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Windows Sysmon Event ID 3 („Network connection“) ist eine der wichtigsten Telemetriequellen für Threat Hunting, IOC-Matching und Threat-Intel-Enrichment (z. B. via OpenCTI). In Wazuh wirkt das auf den ersten Blick trivial: „Ich schreibe eine Rule auf EventID 3, dann bekomme ich Alerts.“ In der Praxis scheitert es aber häufig an … Weiterlesen