MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
wazuh

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
wazuh [2025/03/13 16:28]
jango 		wazuh [2025/03/28 14:54] (aktuell)
jango
Zeile 1: Zeile 1:
 Wazuh ist eine Open Source Sicherheitsplattform, die Unternehmen dabei unterstützt, ihre IT Infrastruktur zu überwachen, Bedrohungen zu erkennen und darauf zu reagieren. Die Software bietet eine umfassende Suite von Funktionen, darunter Log- und Event-Management, Intrusion Detection, Compliance-Management und Security Information and Event Management ([[SIEM]]). Wazuh ist eine Open Source Sicherheitsplattform, die Unternehmen dabei unterstützt, ihre IT Infrastruktur zu überwachen, Bedrohungen zu erkennen und darauf zu reagieren. Die Software bietet eine umfassende Suite von Funktionen, darunter Log- und Event-Management, Intrusion Detection, Compliance-Management und Security Information and Event Management ([[SIEM]]).
 +
 +<code>
 +vie-srv-dc01
 +vie-srv-fs04
 +vie-srv-fs03
 +vie-srv-dc02
 +vie-srv-lb00
 +vie-srv-ex02
 +vie-srv-ex01
 +vie-srv-gts03
 +vie-srv-gts04
 +vie-p-srv-fw01
 +vie-p-srv-fw02
 +vie-p-srv-fw03
 +vie-t-srv-fw01
 +vie-srv-infra01
 +vie-srv-ca01
 +vie-t-srv-audit
 +vie-p-srv-at01
 +vie-p-srv-at02
 +vie-p-srv-at03
 +vie-p-srv-mb01
 +vie-p-srv-mb02
 +vie-p-srv-mb03
 +vie-p-srv-mb04
 +vie-p-srv-ps00
 +vie-p-srv-wsy02
 +vie-srv-smct01
 +vie-p-srv-rg24
 +vie-srv-au01
 +vie-srv-dvo02
 +VIE-SRV-EBK02
 +vie-srv-db04
 +vie-srv-db05
 +vie-srv-dmzfs03
 +vie-srv-dmzfs02
 +vie-nb-gbi016
 +vie-srv-epm00
 +VIE-SRV-EPM02
 +vie-p-srv-flb01
 +</code>
  
 Wazuh besteht aus mehreren Komponenten, darunter den Wazuh-Agenten, die auf den zu überwachenden Systemen installiert sind, dem Wazuh-Manager, der die Daten von den Agenten sammelt und analysiert, sowie dem Elastic Stack (früher bekannt als [[elk-stack|ELK Stack]]), der für die Speicherung und Visualisierung der Daten verwendet wird. Wazuh besteht aus mehreren Komponenten, darunter den Wazuh-Agenten, die auf den zu überwachenden Systemen installiert sind, dem Wazuh-Manager, der die Daten von den Agenten sammelt und analysiert, sowie dem Elastic Stack (früher bekannt als [[elk-stack|ELK Stack]]), der für die Speicherung und Visualisierung der Daten verwendet wird.
Zeile 354: Zeile 395:
 =====Queries===== =====Queries=====
  
-[[https://opensearch.org/docs/latest/query-dsl/|Docs]]+Siehe [[Elasticsearch]] 
 + 
 +[[https://opensearch.org/docs/latest/query-dsl/|Docs]], [[https://documentation.wazuh.com/current/user-manual/indexer-api/use-case.html]]
  
 ====Match==== ====Match====
Zeile 583: Zeile 626:
   },   },
   "sort": [{ "@timestamp": "asc" }]   "sort": [{ "@timestamp": "asc" }]
 +}
 +
 +GET /wazuh-alerts-4.x-2025*/_search
 +{
 +  "query": {
 +    "bool": {
 +      "must": [
 +        {
 +          "match": {
 +            "data.win.eventdata.targetUserName": "dom_docusnap"
 +          }
 +        },
 +        {
 +          "wildcard": {
 +            "data.win.system.message": "*logged on*"
 +          }
 +        }
 +      ]
 +    }
 +  }
 } }
 </code> </code>
 +
 +=====Paging=====
 +
 +[[todo]]
  
 =====Bash Script===== =====Bash Script=====
Zeile 620: Zeile 687:
  
 <code> <code>
-bash wazuh-query.sh  | jq -r '.hits.hits[] | (._source.data.win.eventdata.authenticationPackageName)' +bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.eventdata.authenticationPackageName)' 
-bash wazuh-query.sh  | jq -r '.hits.hits[] | (._source.agent.name)' +bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.eventdata.lmPackageName)' 
-bash wazuh-query.sh  | jq -r '.hits.hits[] | (._source.data.win.system.eventID)'+bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.agent.name)' 
 +bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.system.eventID)' 
 +bash wazuh-query.sh | jq -r '.hits.hits[]._source | "[\(.agent.name)] \(.data.win.eventdata.targetUserName) - (\(.data.win.eventdata.ipAddress):\(.data.win.eventdata.ipPort)) - \(.data.win.eventdata.workstationName) - \(.data.win.eventdata.lmPackageName) "' 
 +</code> 
 + 
 + 
 +=====Python Client===== 
 + 
 +<code python> 
 +# pip install opensearch-py 
 + 
 +from opensearchpy import OpenSearch 
 + 
 +es = OpenSearch( 
 +    hosts=["https://localhost:9200"], 
 +    http_auth=("admin", "SecretPassword"), 
 +    verify_certs=False 
 +
 + 
 +query = { 
 +    "query": {"match_all": {}} 
 +
 + 
 +resp = es.search(index="wazuh-alerts-4.x-2025.03.20", body=query, size=1000) 
 + 
 +for hit in resp["hits"]["hits"]: 
 +    ts = hit["_source"].get("timestamp", "Kein Timestamp"
 + 
 +    # Sicherstellen, dass die verschachtelten Keys existieren 
 +    data = hit["_source"].get("data", {}) 
 +    win = data.get("win", {}) 
 +    eventdata = win.get("eventdata", {}) 
 + 
 +    targetUserName = eventdata.get("targetUserName", "---"
 +    authenticationPackageName = eventdata.get("authenticationPackageName", "---"
 + 
 +    print(ts, '-', targetUserName, '-', authenticationPackageName)
 </code> </code>
  
wazuh.1741879721.txt.gz · Zuletzt geändert: 2025/03/13 16:28 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki