Alles rund ums Thema Wazuh
In Wazuh gibt es bereits eine Regel um fehlgeschlagene Logins zu erkennen: Allerdings basiert diese Regel auf 60107, also Failed attempt to perform a privileged operation Eventuell interessieren uns aber Brute Force Attacken, dazu benötigen wir einen Match auf 60122:
Wazuh reichert per default nur die Quell IP mit Geo-Daten an. Geht es aber um Data-Loss Prevention, will man ja auch wissen, wo die Pakete hin wandern. Dazu muss die Datei /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json angepasst werden. Danach noch filebeat setup –pipelines –modules wazuh und los gehts … Es gibt auch noch viel mehr Möglichkeiten, was man damit … Weiterlesen
Eine Migration eines OpenSearch-Clusters auf einen anderen Cluster kann auf verschiedene Arten durchgeführt werden. Hier sind einige Methoden und wie sie funktionieren: In der Praxis sind die ersten beiden Methoden (Snapshot und Restore sowie Reindex von Remote) die gebräuchlichsten und sichersten Ansätze zur Migration von OpenSearch-Clustern. Es ist wichtig, vor jeder Migration eine gründliche Planung … Weiterlesen
Der Restore einer Wazuh Installation ist mit ein paar wenigen Schritten problemlos möglich, eignet sich allerdings nicht für Upgrades: https://documentation.wazuh.com/4.4/user-manual/files-backup/restoring/index.html
Ein Beitrag in der Wazuh Google Group wie man FortiEDR in Wazuh erkannt bekommt https://groups.google.com/g/wazuh/c/MGoxLw29L5Y
Der letzte Teil der ausführlichen Blogserie über die Agent Konfiguration von Wazuh