Einleitung
Die Qualität und Aktualität von Vulnerability-Daten ist ein zentraler Erfolgsfaktor für jede SIEM- und Vulnerability-Management-Strategie. In Wazuh übernimmt diese Rolle die Cyber Threat Intelligence (CTI), die CVEs, Schwachstellen-Metadaten und zugehörige Informationen bereitstellt. In der Community taucht regelmäßig die Frage auf, wie aktuell diese Daten tatsächlich sind, wie oft neue CVEs verfügbar werden und warum einzelne Schwachstellen zeitweise nicht auffindbar sind. Dieser Beitrag ordnet den Update-Prozess der Wazuh CTI technisch ein und klärt verbreitete Missverständnisse.
Ausgangslage / Problemstellung
Ein Anwender sucht in der öffentlichen Wazuh-CTI-Datenbank nach einer kürzlich veröffentlichten Schwachstelle (z. B. CVE-2025-25249), findet diese jedoch zunächst nicht. Daraus ergeben sich mehrere Fragen:
- Wie häufig wird die Wazuh CTI aktualisiert?
- Gibt es Einschränkungen oder Filter bei der Aufnahme von CVEs?
- Werden neue CVEs nur in festen Intervallen veröffentlicht?
- Wie verhält sich die CTI-Aktualisierung zur Vulnerability Detection im Wazuh Manager?
Technische Analyse
1) Update-Zyklus im Wazuh Manager (Vulnerability Detection)
Auf der Manager-Seite ist der Aktualisierungsmechanismus klar definiert und vollständig konfigurierbar. Standardmäßig lädt der Wazuh Manager neue Vulnerability-Feeds alle 60 Minuten:
<vulnerability-detection>
<enabled>yes</enabled>
<index-status>yes</index-status>
<feed-update-interval>60m</feed-update-interval>
</vulnerability-detection>
Das bedeutet:
- Sobald neue Daten im CTI-Backend verfügbar sind, können sie innerhalb einer Stunde in die lokale Wazuh-Umgebung einfließen.
- Verzögerungen auf Agent- oder Manager-Seite sind in der Regel nicht die Ursache für „fehlende“ CVEs.
2) Update-Zyklus der Wazuh CTI selbst
Die Wazuh CTI ist kein statischer, wöchentlich neu gebauter Feed, sondern ein kontinuierlich gepflegtes System:
- Neue CVE-Daten werden täglich in die CTI-Datenbanken eingepflegt.
- Dieser Prozess erfolgt fortlaufend durch ein dediziertes Team.
- Zusätzlich veröffentlicht Wazuh Berichte (Reports) ein- bis zweimal pro Woche, die neue Schwachstellen, Kampagnen oder kritische Entwicklungen zusammenfassen.
Wichtig:
Diese Reports sind nicht gleichzusetzen mit der eigentlichen Datenverfügbarkeit. Eine CVE kann bereits im CTI-System vorhanden sein, auch wenn sie noch nicht in einem öffentlichen Wochenreport erwähnt wird.
3) Warum einzelne CVEs zeitweise fehlen können
Dass eine neu veröffentlichte CVE kurzfristig nicht auffindbar ist, hat in der Praxis meist folgende Gründe:
- Die CVE ist neu im NVD, aber Metadaten (CPEs, betroffene Produkte, Versionen) sind noch unvollständig.
- Die CVE befindet sich in der Validierungs- oder Anreicherungsphase.
- Es handelt sich um eine sehr frische Veröffentlichung, die noch nicht durch alle automatisierten und manuellen Verarbeitungsschritte gelaufen ist.
Sobald diese Informationen ergänzt sind, wird die CVE regulär in der CTI sichtbar gemacht – wie im Beispiel CVE-2025-25249, die nach kurzer Zeit verfügbar war.
Lösung / Best Practices
Erwartungsmanagement für den Betrieb
- CTI-Daten sind tagesaktuell, nicht wöchentlich.
- Reports sind ein Zusatzprodukt, kein Indikator für die Datenbank-Vollständigkeit.
- Kurzfristige Lücken bei brandneuen CVEs sind möglich, aber nicht systematisch.
Operative Empfehlungen
- Nutze den Standard-Feed-Update-Intervall von 60 Minuten oder passe ihn bei Bedarf an.
- Verlasse dich bei kritischen Schwachstellen nicht ausschließlich auf Reports, sondern prüfe direkt die CTI-Datenbank.
- Kombiniere CTI-Daten mit eigenen Patch- und Asset-Informationen, um Verzögerungen abzufedern.
Lessons Learned / Best Practices
- Wazuh CTI ist ein kontinuierlich aktualisiertes System, kein statischer Feed.
- CVE-Verfügbarkeit hängt nicht nur von der Veröffentlichung, sondern auch von der Datenqualität (CPE, Produktzuordnung) ab.
- Reports sind kuratierte Zusammenfassungen, keine technische Quelle der Wahrheit.
- Fehlende CVEs sollten gemeldet werden – sie werden aktiv geprüft und nachgepflegt.
- Die Vulnerability Detection im Manager ist technisch meist schneller als die menschliche Wahrnehmung über Reports oder Dashboards.
Fazit
Die Wazuh CTI wird täglich aktualisiert und liefert kontinuierlich neue CVE-Daten, während begleitende Reports in größeren Abständen veröffentlicht werden. Wenn einzelne Schwachstellen kurzfristig fehlen, liegt das in der Regel an noch unvollständigen Metadaten und nicht an einem starren Veröffentlichungszyklus. Für den operativen Einsatz bedeutet das: Die CTI ist grundsätzlich zeitnah, verlässlich und aktiv gepflegt – mit klarer Trennung zwischen technischer Datenverfügbarkeit und redaktioneller Aufbereitung.
Mehr zu Wazuh …
https://wazuh.com/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program
Mehr zum Wazuh Ambassador Program …
https://wazuh.com/ambassadors-program/?utm_source=ambassadors&utm_medium=referral&utm_campaign=ambassadors+program
https://wazuh.slack.com/archives/C0A933R8E/p1768569746146099