Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- wazuh [2025/03/20 09:37]
jango [More]
+++ wazuh [2025/03/28 14:54] (aktuell)
jango
@@ Zeile 1: / Zeile 1: @@
 Wazuh ist eine Open Source Sicherheitsplattform, die Unternehmen dabei unterstützt, ihre IT Infrastruktur zu überwachen, Bedrohungen zu erkennen und darauf zu reagieren. Die Software bietet eine umfassende Suite von Funktionen, darunter Log- und Event-Management, Intrusion Detection, Compliance-Management und Security Information and Event Management ([[SIEM]]).
+<code>
+vie-srv-dc01
+vie-srv-fs04
+vie-srv-fs03
+vie-srv-dc02
+vie-srv-lb00
+vie-srv-ex02
+vie-srv-ex01
+vie-srv-gts03
+vie-srv-gts04
+vie-p-srv-fw01
+vie-p-srv-fw02
+vie-p-srv-fw03
+vie-t-srv-fw01
+vie-srv-infra01
+vie-srv-ca01
+vie-t-srv-audit
+vie-p-srv-at01
+vie-p-srv-at02
+vie-p-srv-at03
+vie-p-srv-mb01
+vie-p-srv-mb02
+vie-p-srv-mb03
+vie-p-srv-mb04
+vie-p-srv-ps00
+vie-p-srv-wsy02
+vie-srv-smct01
+vie-p-srv-rg24
+vie-srv-au01
+vie-srv-dvo02
+VIE-SRV-EBK02
+vie-srv-db04
+vie-srv-db05
+vie-srv-dmzfs03
+vie-srv-dmzfs02
+vie-nb-gbi016
+vie-srv-epm00
+VIE-SRV-EPM02
+vie-p-srv-flb01
+</code>
 Wazuh besteht aus mehreren Komponenten, darunter den Wazuh-Agenten, die auf den zu überwachenden Systemen installiert sind, dem Wazuh-Manager, der die Daten von den Agenten sammelt und analysiert, sowie dem Elastic Stack (früher bekannt als [[elk-stack|ELK Stack]]), der für die Speicherung und Visualisierung der Daten verwendet wird.
@@ Zeile 354: / Zeile 395: @@
 =====Queries=====
-[[https://opensearch.org/docs/latest/query-dsl/|Docs]]
+Siehe [[Elasticsearch]]
+[[https://opensearch.org/docs/latest/query-dsl/|Docs]], [[https://documentation.wazuh.com/current/user-manual/indexer-api/use-case.html]]
 ====Match====
@@ Zeile 605: / Zeile 648: @@
 }
 </code>
+=====Paging=====
+[[todo]]
 =====Bash Script=====
@@ Zeile 645: / Zeile 692: @@
 bash wazuh-query.sh | jq -r '.hits.hits[]._source | (.data.win.system.eventID)'
 bash wazuh-query.sh | jq -r '.hits.hits[]._source | "[\(.agent.name)] \(.data.win.eventdata.targetUserName) - (\(.data.win.eventdata.ipAddress):\(.data.win.eventdata.ipPort)) - \(.data.win.eventdata.workstationName) - \(.data.win.eventdata.lmPackageName) "'
+</code>
+=====Python Client=====
+<code python>
+# pip install opensearch-py
+from opensearchpy import OpenSearch
+es = OpenSearch(
+    hosts=["https://localhost:9200"],
+    http_auth=("admin", "SecretPassword"),
+    verify_certs=False
+)
+query = {
+    "query": {"match_all": {}}
+}
+resp = es.search(index="wazuh-alerts-4.x-2025.03.20", body=query, size=1000)
+for hit in resp["hits"]["hits"]:
+    ts = hit["_source"].get("timestamp", "Kein Timestamp")
+    # Sicherstellen, dass die verschachtelten Keys existieren
+    data = hit["_source"].get("data", {})
+    win = data.get("win", {})
+    eventdata = win.get("eventdata", {})
+    targetUserName = eventdata.get("targetUserName", "---")
+    authenticationPackageName = eventdata.get("authenticationPackageName", "---")
+    print(ts, '-', targetUserName, '-', authenticationPackageName)
 </code>

MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge