Wazuh – Seite 3 – Wazuh-Blog

Cisco IOS Login Success Logs in Wazuh korrekt parsen: Custom Decoder und Rule parallel zu den Standardregeln betreiben

27. März 2026 von Michael Muenz

Einleitung Cisco-IOS-Syslog ist in vielen Netzwerken eine der wichtigsten Telemetriequellen für Zugriffskontrolle und Incident Response. Gerade erfolgreiche Logins sind für Security-Teams relevant (z. B. für Anomalieerkennung, Laterale Bewegung, Valid-Accounts-Missbrauch). Wazuh bringt zwar bereits Cisco-IOS-Decoder und Regeln mit – in der Praxis möchte man aber oft eigene Felder extrahieren und eigene Alerts erzeugen, ohne die Standardregeln … Weiterlesen

Wazuh SSO mit Microsoft Entra ID in Docker: Richtige Pfade, korrektes OpenSearch-Security config.yml und Fix für securityadmin.sh: Unable to read type from file

26. März 2026 von Michael Muenz

Einleitung (Einordnung, Relevanz für Security/SIEM/Wazuh) Single Sign-on (SSO) über Microsoft Entra ID ist in vielen SIEM-Umgebungen ein Muss: zentrale Identitäten, MFA, kontrollierte Rollenvergabe und nachvollziehbare Zugriffe auf Dashboards. In Wazuh basiert SSO (SAML) im Kern auf der OpenSearch-Security-Konfiguration des Wazuh Indexers und erfordert ein sauberes Zusammenspiel aus YAML-Struktur, Dateipfaden und dem korrekten Einsatz von securityadmin.sh. … Weiterlesen

Forcepoint DLP CEF in Wazuh zuverlässig dekodieren: Warum „cat=…:“ Single-Regex bricht – und wie Sibling-Decoder es sauber lösen

25. März 2026 von Michael Muenz

Einleitung Forcepoint DLP liefert für SIEM-Integrationen häufig CEF über Syslog. Auf dem Papier ist das ideal: ein standardisierter CEF-Header plus Extension als Key-Value-Paare. In der Praxis scheitert die Dekodierung in Wazuh aber oft genau dort, wo DLP-Events wertvoll werden: bei freien Textfeldern und Policy-/Kategorie-Namen mit Leerzeichen, Sonderzeichen oder Doppelpunkten. Das führt zu unvollständigen Feldern und … Weiterlesen

Wazuh Alert-Split-Routing: Index-Templates korrekt erweitern und Mapping-Konflikte vermeiden

24. März 2026 von Michael Muenz

Einleitung In komplexeren Wazuh-Deployments ist es üblich, Alerts logisch zu trennen – etwa nach Kunden, Organisationseinheiten oder Sicherheitszonen. Technisch wird dies häufig über Ingest-Pipelines im Wazuh Indexer umgesetzt, die Alerts anhand von Metadaten in unterschiedliche Indizes routen.Ein zentrales, aber oft übersehenes Detail dabei sind die zugrunde liegenden Index-Templates. Werden diese nicht korrekt berücksichtigt, drohen Mapping-Konflikte, … Weiterlesen

Kaspersky Security Center CEF in Wazuh sauber dekodieren: Custom Decoder für vollständige Felder statt „nur 3 Werte“

23. März 2026 von Michael Muenz

Einleitung CEF (Common Event Format) ist in vielen SIEM-Pipelines der „kleinste gemeinsame Nenner“ für Security-Telemetrie. In der Praxis stolpern Wazuh-Administratoren aber regelmäßig darüber, dass CEF-Events aus Kaspersky Security Center (KSC) nur teilweise geparst werden: Statt Header + Extension-Key/Value-Paare landen nur wenige Felder im Event. Das ist nicht nur lästig, sondern reduziert direkt den Detection- und … Weiterlesen

Citrix ADC Logs werden vom (NetScaler-)Decoder „geschluckt“: Custom Decoder sauber bauen und Default-Matching verhindern

22. März 2026 von Michael Muenz

In der Praxis landen Citrix ADC (ehem. NetScaler) Syslog-Zeilen oft in einem Format, das stark an klassische ns.log-/Syslog-Ausgaben erinnert (z. B. 0-PPE-0 : TCP CONN_TERMINATE …). Dieses Muster matcht schnell auf generische/Default-Decoder (z. B. netscaler), sodass eigene Felder nicht wie gewünscht extrahiert werden oder „falsch“ interpretiert wirken. Ein typisches Citrix-Beispiel sieht u. a. so aus: … Weiterlesen

CVE-2024-56180 in Wazuh: Warum eine Apache-EventMesh-Schwachstelle als Kernel-Vulnerability auf Ubuntu erscheint

21. März 2026 von Michael Muenz

Einleitung Vulnerability Detection ist nur dann wirklich hilfreich, wenn Findings korrekt eingeordnet werden können. Gerade bei CVEs mit hohem Schweregrad führt eine falsche oder missverständliche Zuordnung schnell zu Verunsicherung – insbesondere in Audits oder Compliance-Prüfungen. Ein aktuelles Beispiel ist CVE-2024-56180, das in Wazuh auf Ubuntu 24.04 LTS als kritisch gemeldet wird, obwohl das betroffene Produkt … Weiterlesen

Sophos Firewall (SFW) Logs in Wazuh

20. März 2026 von Michael Muenz

Warum „DoS Attack / Denied“ korrekt decodiert wird – und trotzdem nicht immer sichtbar ist Einleitung Sophos-Firewall-Logs (SFW / XG / XGS) gehören zu den umfangreichsten und komplexesten Firewall-Logs überhaupt.Besonders Felder wie: sorgen häufig für Verwirrung, wenn sie nicht wie erwartet im wazuh-logtest oder Dashboard erscheinen, obwohl Decoder vorhanden sind. Dieser Artikel erklärt: 1. Beispiel: … Weiterlesen

Wazuh RBAC: Fehler bei benutzerdefinierten Dashboards und fehlenden Index-Rechten sauber beheben

19. März 2026 von Michael Muenz

Einleitung Role-Based Access Control (RBAC) ist in Wazuh essenziell, um Mandantentrennung, Least-Privilege-Prinzip und organisatorische Zuständigkeiten sauber abzubilden. Besonders in Umgebungen mit mehreren Teams oder Kunden wird häufig ein separates Dashboard mit eingeschränkten Rechten benötigt – etwa für das Lesen und Verwalten bestimmter Agent-Gruppen. In der Praxis treten dabei jedoch regelmäßig Fehler auf, die auf unvollständige … Weiterlesen

Wazuh CTI und CVE-Verfügbarkeit: Update-Zyklen, Synchronisation und praktische Erwartungen

19. März 2026 von Michael Muenz

Einleitung Die Qualität und Aktualität von Vulnerability-Daten ist ein zentraler Erfolgsfaktor für jede SIEM- und Vulnerability-Management-Strategie. In Wazuh übernimmt diese Rolle die Cyber Threat Intelligence (CTI), die CVEs, Schwachstellen-Metadaten und zugehörige Informationen bereitstellt. In der Community taucht regelmäßig die Frage auf, wie aktuell diese Daten tatsächlich sind, wie oft neue CVEs verfügbar werden und warum … Weiterlesen