MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
wazuh

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
wazuh [2025/03/07 18:19]
jango [Queries] 		wazuh [2025/03/28 14:54] (aktuell)
jango
Zeile 1: Zeile 1:
 Wazuh ist eine Open Source Sicherheitsplattform, die Unternehmen dabei unterstützt, ihre IT Infrastruktur zu überwachen, Bedrohungen zu erkennen und darauf zu reagieren. Die Software bietet eine umfassende Suite von Funktionen, darunter Log- und Event-Management, Intrusion Detection, Compliance-Management und Security Information and Event Management ([[SIEM]]). Wazuh ist eine Open Source Sicherheitsplattform, die Unternehmen dabei unterstützt, ihre IT Infrastruktur zu überwachen, Bedrohungen zu erkennen und darauf zu reagieren. Die Software bietet eine umfassende Suite von Funktionen, darunter Log- und Event-Management, Intrusion Detection, Compliance-Management und Security Information and Event Management ([[SIEM]]).
 +
 +<code>
 +vie-srv-dc01
 +vie-srv-fs04
 +vie-srv-fs03
 +vie-srv-dc02
 +vie-srv-lb00
 +vie-srv-ex02
 +vie-srv-ex01
 +vie-srv-gts03
 +vie-srv-gts04
 +vie-p-srv-fw01
 +vie-p-srv-fw02
 +vie-p-srv-fw03
 +vie-t-srv-fw01
 +vie-srv-infra01
 +vie-srv-ca01
 +vie-t-srv-audit
 +vie-p-srv-at01
 +vie-p-srv-at02
 +vie-p-srv-at03
 +vie-p-srv-mb01
 +vie-p-srv-mb02
 +vie-p-srv-mb03
 +vie-p-srv-mb04
 +vie-p-srv-ps00
 +vie-p-srv-wsy02
 +vie-srv-smct01
 +vie-p-srv-rg24
 +vie-srv-au01
 +vie-srv-dvo02
 +VIE-SRV-EBK02
 +vie-srv-db04
 +vie-srv-db05
 +vie-srv-dmzfs03
 +vie-srv-dmzfs02
 +vie-nb-gbi016
 +vie-srv-epm00
 +VIE-SRV-EPM02
 +vie-p-srv-flb01
 +</code>
  
 Wazuh besteht aus mehreren Komponenten, darunter den Wazuh-Agenten, die auf den zu überwachenden Systemen installiert sind, dem Wazuh-Manager, der die Daten von den Agenten sammelt und analysiert, sowie dem Elastic Stack (früher bekannt als [[elk-stack|ELK Stack]]), der für die Speicherung und Visualisierung der Daten verwendet wird. Wazuh besteht aus mehreren Komponenten, darunter den Wazuh-Agenten, die auf den zu überwachenden Systemen installiert sind, dem Wazuh-Manager, der die Daten von den Agenten sammelt und analysiert, sowie dem Elastic Stack (früher bekannt als [[elk-stack|ELK Stack]]), der für die Speicherung und Visualisierung der Daten verwendet wird.
Zeile 272: Zeile 313:
  
 und ist von beginn an leer. und ist von beginn an leer.
-=====Tasks=====+=====CLI=====
  
-Removing an agent from the manager+Managing Agents (interactive 
 +<code> 
 +/var/ossec/bin/manage_agents 
 +</code>
  
 +Removing an agent from the manager
 <code> <code>
 /var/ossec/bin/manage_agents -r <WAZUH_AGENT_ID> /var/ossec/bin/manage_agents -r <WAZUH_AGENT_ID>
Zeile 281: Zeile 326:
  
 Restart the manager Restart the manager
- 
 <code bash> <code bash>
 sudo docker exec -it <wazuh-manager-container> /bin/bash sudo docker exec -it <wazuh-manager-container> /bin/bash
Zeile 351: Zeile 395:
 =====Queries===== =====Queries=====
  
-[[https://opensearch.org/docs/latest/query-dsl/|Docs]]+Siehe [[Elasticsearch]] 
 + 
 +[[https://opensearch.org/docs/latest/query-dsl/|Docs]], [[https://documentation.wazuh.com/current/user-manual/indexer-api/use-case.html]]
  
 ====Match==== ====Match====
Zeile 367: Zeile 413:
 </code> </code>
  
 +====Wildcard====
 +
 +GET /wazuh-alerts-4.x-2025*/_search
 +{
 +  "size": 10,
 +  "query": {
 +    "wildcard": {
 +      "data.win.eventdata.authenticationPackageName": "NTLM"
 +    }
 +  }
 +}
 ====Bool Must==== ====Bool Must====
 Beide Felder müssen zutreffen Beide Felder müssen zutreffen
Zeile 450: Zeile 507:
 </code> </code>
  
 +====Bool Must Bool Should====
 <code> <code>
 GET /wazuh-alerts-4.x-2025*/_search GET /wazuh-alerts-4.x-2025*/_search
Zeile 531: Zeile 589:
 </code> </code>
  
 +^Abfrage^Bedeutung^Kann Ergebnisse ohne Treffer zurückgeben?^Mindestens eine Bedingung muss erfüllt sein?^
 +|should direkt in bool|Beide Bedingungen sind optional, erhöhen aber das Ranking|Ja (falls kein minimum_should_match)|(Ergebnisse können auch ohne Übereinstimmung erscheinen)|
 +|should innerhalb must|Mindestens eine should-Bedingung muss erfüllt sein|Nein|(Mindestens eine Bedingung muss passen)|
 +
 +====More====
 <code> <code>
 GET /wazuh-alerts-4.x-2025.03.0*/_search GET /wazuh-alerts-4.x-2025.03.0*/_search
Zeile 563: Zeile 626:
   },   },
   "sort": [{ "@timestamp": "asc" }]   "sort": [{ "@timestamp": "asc" }]
 +}
 +
 +GET /wazuh-alerts-4.x-2025*/_search
 +{
 +  "query": {
 +    "bool": {
 +      "must": [
 +        {
 +          "match": {
 +            "data.win.eventdata.targetUserName": "dom_docusnap"
 +          }
 +        },
 +        {
 +          "wildcard": {
 +            "data.win.system.message": "*logged on*"
 +          }
 +        }
 +      ]
 +    }
 +  }
 } }
 </code> </code>
 +
 +=====Paging=====
 +
 +[[todo]]
 +
 +=====Bash Script=====
 +
 +<code bash>
 +#!/bin/bash
 +
 +# Wazuh Indexer URL und Authentifizierung
 +WAZUH_INDEXER="https://172.21.0.143:9200"
 +USERNAME="admin"
 +PASSWORD="SecretPassword"
 +
 +# Anfrage ausführen
 +curl -k -u "$USERNAME:$PASSWORD" -X GET "$WAZUH_INDEXER/wazuh-alerts-4.x-2025*/_search" -H "Content-Type: application/json" -d @- <<EOF
 +{
 +  "query": {
 +    "bool": {
 +      "must": [
 +        {
 +          "match": {
 +            "data.win.eventdata.authenticationPackageName": "NTLM"
 +          }
 +        },
 +        {
 +          "match": {
 +            "agent.name": "vie-srv-dc01"
 +          }
 +        }
 +      ]
 +    }
 +  }
 +}
 +EOF
 +</code>
 +
 +<code>
 +bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.eventdata.authenticationPackageName)'
 +bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.eventdata.lmPackageName)'
 +bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.agent.name)'
 +bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.system.eventID)'
 +bash wazuh-query.sh | jq -r '.hits.hits[]._source | "[\(.agent.name)] \(.data.win.eventdata.targetUserName) - (\(.data.win.eventdata.ipAddress):\(.data.win.eventdata.ipPort)) - \(.data.win.eventdata.workstationName) - \(.data.win.eventdata.lmPackageName) "'
 +</code>
 +
 +
 +=====Python Client=====
 +
 +<code python>
 +# pip install opensearch-py
 +
 +from opensearchpy import OpenSearch
 +
 +es = OpenSearch(
 +    hosts=["https://localhost:9200"],
 +    http_auth=("admin", "SecretPassword"),
 +    verify_certs=False
 +)
 +
 +query = {
 +    "query": {"match_all": {}}
 +}
 +
 +resp = es.search(index="wazuh-alerts-4.x-2025.03.20", body=query, size=1000)
 +
 +for hit in resp["hits"]["hits"]:
 +    ts = hit["_source"].get("timestamp", "Kein Timestamp")
 +
 +    # Sicherstellen, dass die verschachtelten Keys existieren
 +    data = hit["_source"].get("data", {})
 +    win = data.get("win", {})
 +    eventdata = win.get("eventdata", {})
 +
 +    targetUserName = eventdata.get("targetUserName", "---")
 +    authenticationPackageName = eventdata.get("authenticationPackageName", "---")
 +
 +    print(ts, '-', targetUserName, '-', authenticationPackageName)
 +</code>
 +
 =====Links===== =====Links=====
  
wazuh.1741367952.txt.gz · Zuletzt geändert: 2025/03/07 18:19 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki