Wazuh

Use Case:Ein Community-Mitglied wollte neben den SentinelOne Threat Alerts auch Activity Alerts per API in Wazuh integrieren – basierend auf dem offiziellen Wazuh-Blog zur SentinelOne-Integration. Die Logs wurden korrekt abgeholt und in separate JSON-Dateien geschrieben, dennoch wurden Activity Alerts weder im Dashboard angezeigt noch durch Custom Rules erkannt. Ausgangslage Setup Symptome Root Cause 1: Indexing- … Weiterlesen

Ausgangssituation In großen Wazuh-Umgebungen (hier: >6.000 Agents) ist es Best Practice, den Master-Node möglichst schlank zu halten und primär für Agent-Registrierungen (Port 1515) sowie Cluster-Koordination zu nutzen. Der Nutzer hatte bereits erfolgreich: 👉 Die einzige offene Frage:Wie kann verhindert werden, dass der Master-Node vom HAProxy Helper automatisch als Backend für Agent-Traffic (Port 1514) verwendet wird? … Weiterlesen

Windows PowerShell- oder Security-Events aus dem Microsoft-Windows-PowerShell/Operational Channel verhalten sich in Wazuh auf den ersten Blick merkwürdig: Warum ist das so? Die Antwort steckt tief in der Architektur von Wazuh. Dieser Artikel erklärt: 1. Warum du den Decoder „windows_eventchannel“ nicht findest Wazuh unterscheidet zwischen: Der Windows EventChannel-Decoder gehört zur zweiten Kategorie. Jakub Pacowski erklärt es … Weiterlesen

Ausgangslage Ein Wazuh-Cluster auf v4.14.1 verarbeitet GCP-Logs aus einem Google Cloud Storage Bucket. Die Dateien liegen im Bucket vor (sichtbar, korrekter Inhalt), der Wazuh-Log zeigt auch „Processing …“, aber am Ende steht: INFO: Received 0 messages Beispiel aus dem Log: Im Bucket liegen Cloud Audit Logs als JSON (z. B. cloudaudit.googleapis.com/activity). Warum das passiert (Root … Weiterlesen

Wer Azure-Logs über das Wazuh Azure-Modul einbindet, kennt das Problem:Viele Zeitstempel kommen zwar wie ein Datum aus, werden vom Wazuh Indexer aber nur als String gespeichert. Ein typisches Beispiel: In der Oberfläche sehen diese Werte korrekt aus – aber in Visualisierungen, Timelines, Aggregationen oder Range-Filtern sind sie nicht als Datum nutzbar, weil der Feldtyp nicht … Weiterlesen

Viele Unternehmen betreiben Wazuh in der Cloud – etwa in AWS – möchten aber gleichzeitig auch on-prem Komponenten integrieren.Genau das plante Obeyd:Ein großer Wazuh-Cluster in AWS (5 Manager, 9 Indexer, 1 Dashboard) – und zusätzlich ein weiterer Manager-Worker in einem entfernten On-Prem-Standort. Die Frage:Kann ein Wazuh Manager Cluster stabil funktionieren, wenn ein Worker über WAN … Weiterlesen

Im Thread von Ewin Loppe ging es um ein typisches Thema in Wazuh-/OpenSearch-Umgebungen:Der Cluster-Status ist gelb, einige Shards sind unassigned, und Dev Tools werfen plötzlich 403 / security_exception. Schauen wir uns an, warum das passiert – und wie man es sauber behebt. 1. Ausgangslage: Cluster „yellow“ und unassigned Shards Ewin hat den Clusterzustand geprüft: Ausgabe … Weiterlesen