Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- wazuh [2025/03/07 18:20]
jango [Bool Must Bool Should]
+++ wazuh [2025/03/28 14:54] (aktuell)
jango
@@ Zeile 1: / Zeile 1: @@
 Wazuh ist eine Open Source Sicherheitsplattform, die Unternehmen dabei unterstützt, ihre IT Infrastruktur zu überwachen, Bedrohungen zu erkennen und darauf zu reagieren. Die Software bietet eine umfassende Suite von Funktionen, darunter Log- und Event-Management, Intrusion Detection, Compliance-Management und Security Information and Event Management ([[SIEM]]).
+<code>
+vie-srv-dc01
+vie-srv-fs04
+vie-srv-fs03
+vie-srv-dc02
+vie-srv-lb00
+vie-srv-ex02
+vie-srv-ex01
+vie-srv-gts03
+vie-srv-gts04
+vie-p-srv-fw01
+vie-p-srv-fw02
+vie-p-srv-fw03
+vie-t-srv-fw01
+vie-srv-infra01
+vie-srv-ca01
+vie-t-srv-audit
+vie-p-srv-at01
+vie-p-srv-at02
+vie-p-srv-at03
+vie-p-srv-mb01
+vie-p-srv-mb02
+vie-p-srv-mb03
+vie-p-srv-mb04
+vie-p-srv-ps00
+vie-p-srv-wsy02
+vie-srv-smct01
+vie-p-srv-rg24
+vie-srv-au01
+vie-srv-dvo02
+VIE-SRV-EBK02
+vie-srv-db04
+vie-srv-db05
+vie-srv-dmzfs03
+vie-srv-dmzfs02
+vie-nb-gbi016
+vie-srv-epm00
+VIE-SRV-EPM02
+vie-p-srv-flb01
+</code>
 Wazuh besteht aus mehreren Komponenten, darunter den Wazuh-Agenten, die auf den zu überwachenden Systemen installiert sind, dem Wazuh-Manager, der die Daten von den Agenten sammelt und analysiert, sowie dem Elastic Stack (früher bekannt als [[elk-stack|ELK Stack]]), der für die Speicherung und Visualisierung der Daten verwendet wird.
@@ Zeile 272: / Zeile 313: @@
 und ist von beginn an leer.
-=====Tasks=====
+=====CLI=====
-Removing an agent from the manager
+Managing Agents (interactive
+<code>
+/var/ossec/bin/manage_agents
+</code>
+Removing an agent from the manager
 <code>
 /var/ossec/bin/manage_agents -r <WAZUH_AGENT_ID>
@@ Zeile 281: / Zeile 326: @@
 Restart the manager
 <code bash>
 sudo docker exec -it <wazuh-manager-container> /bin/bash
@@ Zeile 351: / Zeile 395: @@
 =====Queries=====
-[[https://opensearch.org/docs/latest/query-dsl/|Docs]]
+Siehe [[Elasticsearch]]
+[[https://opensearch.org/docs/latest/query-dsl/|Docs]], [[https://documentation.wazuh.com/current/user-manual/indexer-api/use-case.html]]
 ====Match====
@@ Zeile 367: / Zeile 413: @@
 </code>
+====Wildcard====
+GET /wazuh-alerts-4.x-2025*/_search
+{
+  "size": 10,
+  "query": {
+    "wildcard": {
+      "data.win.eventdata.authenticationPackageName": "NTLM"
+    }
+  }
+}
 ====Bool Must====
 Beide Felder müssen zutreffen
@@ Zeile 531: / Zeile 588: @@
 }
 </code>
+^Abfrage^Bedeutung^Kann Ergebnisse ohne Treffer zurückgeben?^Mindestens eine Bedingung muss erfüllt sein?^
+|should direkt in bool|Beide Bedingungen sind optional, erhöhen aber das Ranking|Ja (falls kein minimum_should_match)|(Ergebnisse können auch ohne Übereinstimmung erscheinen)|
+|should innerhalb must|Mindestens eine should-Bedingung muss erfüllt sein|Nein|(Mindestens eine Bedingung muss passen)|
 ====More====
@@ Zeile 565: / Zeile 626: @@
   },
   "sort": [{ "@timestamp": "asc" }]
+}
+GET /wazuh-alerts-4.x-2025*/_search
+{
+  "query": {
+    "bool": {
+      "must": [
+        {
+          "match": {
+            "data.win.eventdata.targetUserName": "dom_docusnap"
+          }
+        },
+        {
+          "wildcard": {
+            "data.win.system.message": "*logged on*"
+          }
+        }
+      ]
+    }
+  }
 }
 </code>
+=====Paging=====
+[[todo]]
+=====Bash Script=====
+<code bash>
+#!/bin/bash
+# Wazuh Indexer URL und Authentifizierung
+WAZUH_INDEXER="https://172.21.0.143:9200"
+USERNAME="admin"
+PASSWORD="SecretPassword"
+# Anfrage ausführen
+curl -k -u "$USERNAME:$PASSWORD" -X GET "$WAZUH_INDEXER/wazuh-alerts-4.x-2025*/_search" -H "Content-Type: application/json" -d @- <<EOF
+{
+  "query": {
+    "bool": {
+      "must": [
+        {
+          "match": {
+            "data.win.eventdata.authenticationPackageName": "NTLM"
+          }
+        },
+        {
+          "match": {
+            "agent.name": "vie-srv-dc01"
+          }
+        }
+      ]
+    }
+  }
+}
+EOF
+</code>
+<code>
+bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.eventdata.authenticationPackageName)'
+bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.eventdata.lmPackageName)'
+bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.agent.name)'
+bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.system.eventID)'
+bash wazuh-query.sh | jq -r '.hits.hits[]._source | "[\(.agent.name)] \(.data.win.eventdata.targetUserName) - (\(.data.win.eventdata.ipAddress):\(.data.win.eventdata.ipPort)) - \(.data.win.eventdata.workstationName) - \(.data.win.eventdata.lmPackageName) "'
+</code>
+=====Python Client=====
+<code python>
+# pip install opensearch-py
+from opensearchpy import OpenSearch
+es = OpenSearch(
+    hosts=["https://localhost:9200"],
+    http_auth=("admin", "SecretPassword"),
+    verify_certs=False
+)
+query = {
+    "query": {"match_all": {}}
+}
+resp = es.search(index="wazuh-alerts-4.x-2025.03.20", body=query, size=1000)
+for hit in resp["hits"]["hits"]:
+    ts = hit["_source"].get("timestamp", "Kein Timestamp")
+    # Sicherstellen, dass die verschachtelten Keys existieren
+    data = hit["_source"].get("data", {})
+    win = data.get("win", {})
+    eventdata = win.get("eventdata", {})
+    targetUserName = eventdata.get("targetUserName", "---")
+    authenticationPackageName = eventdata.get("authenticationPackageName", "---")
+    print(ts, '-', targetUserName, '-', authenticationPackageName)
+</code>
 =====Links=====

MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge