# Wazuh - SIEM
Wazuh ist ein SIEM mit XDR funktionalität und unsere zentrale Komponenten.
# Wazuh installieren und einrichten, Agent installieren, Sysmon einrichten
# Agent Update
***Allgemeine Informationen:***
- [https://wazuh.com/install/](https://wazuh.com/install/)
- [https://documentation.wazuh.com/current/user-manual/agents/remote-upgrading/upgrading-agent.html](https://documentation.wazuh.com/current/user-manual/agents/remote-upgrading/upgrading-agent.html)
- [https://documentation.wazuh.com/current/upgrade-guide/wazuh-agent/index.html](https://documentation.wazuh.com/current/upgrade-guide/wazuh-agent/index.html)
***Agentupdates zentral über den Wazuh Server:***
Ich hatte hier jedoch massive Probleme, deshalb habe ich nachher die Agents selber auf dem entsprechenden Client selber.
Um die Befehle auf dem Server oder den Clients zu starten benötigen sie entweder einen User der Gruppe Wazuh oder Root Rechte - alternativ können sie diese auch mit sudo ausführen (vor dem jeweiligen Befehl). Damit sie dies nicht bei mehreren Befehlen jedes mal machen müssen - können sie mit sudo bash eine Shell starten. Denken Sie auf jeden Fall daran, diese wieder mit exit zu beenden.
- Per SSH auf den Wazuh Server anmelden
- Sudo bash (alternativ ansonsten die Befehle einzeln mit sudo starten)
- /var/ossec/bin/agent\_update -l
- /var/ossec/bin/agent\_update -a CLIENT\_ID
***Agentupdate auf dem Linux-client selber:***
> sudo bash
> curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg
> echo "deb \[signed-by=/usr/share/keyrings/wazuh.gpg\] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a /etc/apt/sources.list.d/wazuh.list
> apt-get update
> apt-get upgrade
> systemctl restart wazuh-agent
> systemctl status wazuh-agent
***Agentupdate auf dem Windows-client selber:***
Download des aktuellen Agents (z.B. [https://packages.wazuh.com/4.x/windows/wazuh-agent-4.3.10-1.msi](https://packages.wazuh.com/4.x/windows/wazuh-agent-4.3.10-1.msi)) und anschließend starten der Installationsdatei.
Aktuelle Datei ist hier zu finden: [https://documentation.wazuh.com/current/upgrade-guide/wazuh-agent/windows.html](https://documentation.wazuh.com/current/upgrade-guide/wazuh-agent/windows.html)
***Agentupdate auf dem Mac-client selber:***
Download des aktuellen Agents (z.B. [https://packages.wazuh.com/4.x/macos/wazuh-agent-4.3.10-1.pkg](https://packages.wazuh.com/4.x/macos/wazuh-agent-4.3.10-1.pkg)) und anschließend starten der Installationsdatei.
Aktuelle Datei ist hier zu finden: [https://documentation.wazuh.com/current/upgrade-guide/wazuh-agent/macos.html](https://documentation.wazuh.com/current/upgrade-guide/wazuh-agent/macos.html)
# Syslog einrichten
Artikel folgt noch ...
# Erstellen eines eigenen Decoders
Sollten Sie Systeme mit Syslog erfassen welche noch nicht unterstützt sind, dann sind diese zwar in den Archive Logs (wazuh-archive-\*) können jedoch noch keine Alerts erzeugen.
Damit dies funktioniert, müssen sogenannte Decoder erstellt werden. Dies sind XML Dateien, welche die wazuh-archives-\* Logs überwachen nach bestimmten Textmustern und dann diese in Alerts umwandeln, welche dann später sogar weiter interagieren können (z.B. Emailalerts, Integrations, Cases erstellen usw.).
Einen Decoder für die Sophos UTM erstelle ich gerade selber, da ich diesen benötige Die Dateien für erstelle ich später auf Github wenn dieser fertig ist.
Einen Beitrag von Wazuh selber, wie man Decoder selber erstellt findet ihr hier: [https://wazuh.com/blog/creating-decoders-and-rules-from-scratch/](https://wazuh.com/blog/creating-decoders-and-rules-from-scratch/)
Hier ist der aktuelle Stand (Stand 21.12.2022):
```
^\d+:\d+:\d+-\d+:\d+:\d+\s\w+\s\w+[\d+]:\sid="\d+"sophos-utm-custom(\d+:\d+:\d+)-(\d+:\d+:\d+)\s(\w+)\s(\w+)date, time, hostname, modulesophos-utm-customname=\p(\w+\s\w+)statussophos-utm-customseverity=\p(\w+\s\w+)severitysophos-utm-customsub=\p(\w+\s\w+)subsophos-utm-customsys=\p(\w+\s\w+)syssophos-utm-customsrcip=\p(\d+.\d+.\d+.\d+)\psrcipsophos-utm-customdstip=\p(\d+.\d+.\d+.\d+)\pdstipsophos-utm-customsrcport=\p(\d+)\psrcportsophos-utm-customdsport=\p(\d+)\pdstportsophos-utm-customprofile=\p(\w+)\pprofilesophos-utm-customfilteraction=\p(\w+)\pfilteractionsophos-utm-customurl=\p(\S+)\purlsophos-utm-customreferer=\p(\S+)\preferersophos-utm-customreputation=\p(\w+)\preputationsophos-utm-customcategoryname=\p(\w+)\pcategorynamesophos-utm-customuser=\p(\w+)\pusersophos-utm-customgroup=\p(\w+)\pgroupsophos-utm-customid=\p(\d+)\pidsophos-utm-customreason=\p(\w+)\paction
```
Dazu ein paar Bilder, wie das in Wazuh aussieht:
[](https://wiki.leibling.de/uploads/images/gallery/2022-12/RbrTgOf3482ZA1xo-bildschirmfoto-2022-12-21-um-22-37-02.png)
[](https://wiki.leibling.de/uploads/images/gallery/2022-12/NwsPo5Ajp8Z5RRsc-2.png)
[](https://wiki.leibling.de/uploads/images/gallery/2022-12/HEKdTlzAjT2qwzcD-3.png)
# Index Management
Wazuh pflegt seine Daten auf dem Server unter unter /var/ossec/logs
Die wichtigsten sind:
- /var/ossec/logs/alerts
- /var/ossec/logs/archives
Letzteren finden Sie, erst wenn die Sysog aktiviert haben und auch Gerät welche keine Agents nutzen können unterstützen wollen (z.B. VMWare, Switche, Firewalls, Gateway, VPNs usw.).
Die Indizies (Logs) finden Sie wie folgt:
- Loggen Sie sich im Wazuh Dashboard ein
- Gehen Sie oben Links auf die drei Balken
- Wählen Sie unten Index Management
[](https://wiki.leibling.de/uploads/images/gallery/2022-12/image.png)
- Dann unter Indicies finden sie die Indizies - besonders die unter wazuh-archives-\* (für Syslogs) können sehr groß werden.
[](https://wiki.leibling.de/uploads/images/gallery/2022-12/Tsoimage.png)
Damit nun die Festplatte nicht voll läuft, sollten das Index Management eingerichtet werden. Hierzu bietet Wazuh einen Blogartikel an: [https://wazuh.com/blog/wazuh-index-management/](https://wazuh.com/blog/wazuh-index-management/)
Dieser Artikel beruht auf einer älteren Version und sieht ein wenig anders aus - das ist jedoch nicht schlimm, wir benötigen nur den unteren Textteil.
**Richten wir nun eine *Index Management Policy* ein:**
- Gehen Sie links auf dem Punkt Index Policies
- Wählen Sie oben rechts Create Policy
- Wählen sie bei *Configuration Method* den *JSON Editor* aus
- Vergeben sie nun eine Policy ID wie z.B. *cleanup-policy*
- Ersetzen Sie den Inhalt durch den unten und wählen Sie *Create*
```
{
"id": "cleanup-policy",
"seqNo": 3244,
"primaryTerm": 1,
"policy": {
"policy_id": "cleanup-policy",
"description": "Cleanup Indicies Rule. Set after 15 Days to cold (Read Only) and delte it after 60 Days.",
"last_updated_time": 1669980175085,
"schema_version": 12,
"error_notification": null,
"default_state": "hot",
"states": [
{
"name": "hot",
"actions": [
{
"replica_count": {
"number_of_replicas": 0
}
}
],
"transitions": [
{
"state_name": "cold",
"conditions": {
"min_index_age": "15d"
}
}
]
},
{
"name": "cold",
"actions": [
{
"read_only": {}
}
],
"transitions": [
{
"state_name": "delete",
"conditions": {
"min_index_age": "60d"
}
}
]
},
{
"name": "delete",
"actions": [
{
"delete": {}
}
],
"transitions": []
}
],
"ism_template": [
{
"index_patterns": [
"wazuh-*"
],
"priority": 100,
"last_updated_time": 1669967389155
}
]
}
}
```
Sollten Sie mehrere Wazuhserver bzw. Knoten haben - dann können Sie auch mehrere Replicas wählen - maximal die Anzahl der Knoten, die sie haben.
Die Indizies, die aktuell genutzt werden sind *Hot*. *Cold* hingegen sind nur noch zum lesen vorhanden und belegen so weniger Systemressourcen (Ram und CPU, nicht Festplattenplatz). *Delete* gibt hingegen an, ab wann die Indizies (also die Dateien!) gelöscht werden. Diese sind danach nicht mehr zu nutzen, sofern sie diese nicht ausgelagert oder gesichert haben.
Ab nun an, werden die Indicies auf die Zukunft gepflegt. Sollten Sie diese Regel zu Anfang einrichten - sind sie nun fertig.
Sollten Sie jedoch schon Indizies haben und möchten diese bereinigen (sehen Sie bitte davon ab, diese einfach von der Festplatte zu löschen - da sonst Wazuh nicht mitbekommt, das diese entfernt wurden), gehen sie einfach links auf Indicies und geben bei Search *wazuh-alerts* ein - wählen sie alle aus und klicken sie oben auf Apply Policy und wählen die eben erstellte Policy aus.
Sollte die Festplatte schon vollgelaufen sein und sie virtualisieren - dann können Sie in der Virtualisierung die Festplatte vergrößern und mit Tools wie Gparted booten und damit die virtuelle Festplatte vergrößern. Sollten sie ein physiches System benutzen könnten Sie eine weitere Platte einsetzen, diese formatieren und temporär mounten - die Dienste beenden, danach die Dateien rüberkopieren und anschließend den alten Ordner löschen. Nachdem sie die fstab angepasst haben und neugestartet haben, sollten wieder alles in Ordnung sein. **Sie sollten jedoch unbedingt vorher Sicherungen erstellen!**
# Anpassen des Designs
Dieser Artikel folgt noch ...
# Office 365 einrichten
Artikel folgt noch ...
# Github einrichten
Artikel folgt noch ...
# Wazuh Denoising
\[Rule 510\]: Trojaned version of file detected (/bin/diff)
Lösung:
- Copy https://github.com/ossec/ossec-hids/blob/master/src/rootcheck/db/rootkit\_trojans.txt to /var/ossec/etc/shared/ on your hub server.
- upgrade from source out of master
Weitere Informationen: [https://github.com/ossec/ossec-hids/issues/2020](https://github.com/ossec/ossec-hids/issues/2020)
\[Rule 92213\]: Executable file dropped in folder commonly used by malware (cleanmgr.exe)
Lösung:
Erstellen/erweitern der overwrites-custom-warnings.xml mit folgenden Inhalt (ggf. Rule ID anpassen):
```
92204C:\\\\Windows\\\\system32\\\\sdiagnhost\.exeno_full_logCleanMGR - Downlevel Info
```
\[Rule 510\]: Host-based anomaly detection event (/var/lib/docker/overlay2 und /var/lib/docker/volume)
Anpassen der Konfigurationsdatei im Bereich Rootcheck, anschließend Manager neu starten:
```
/var/lib/docker/overlay2//var/lib/docker/volume/
```
Keine Vulnerability detects für Ubuntu 22.04
Hinzufügen zu der Konfiguration im Abschnitt Vulnerability-detector / Provider Canonical - anschließend speichern und Manager neustarten:
```
jammy
```
\[Rule: 92201\]: powershell.exe created a new scripting file under Windows Temp or User data folder (PSPolicyScript)
Lösung:
Erstellen/erweitern der overwrites-custom-warnings.xml mit folgenden Inhalt (ggf. Rule ID anpassen):
```
92213C:\\\\Windows\\\\system32\\\\wsmprovhost.exeAppData\\\\Local\\\\Temp\\\\__PSScriptPolicyTest_*PSScript PolicyTest ignorieren
```
Quelle: https://www.reddit.com/r/Wazuh/comments/174enng/create\_exclusion\_for\_false\_positive/?rdt=50834
# overwrites-custom-warnings.xml
```
60104^577$|^4673$no_full_logFailed attempt to perform a privileged operation.92213C:\\\\(?i)Windows\\\\(?i)system32\\\\(?i)cleanmgr\.exeCleanMGR - Downlevel Info510/usr/sbin/apachectlIgnoring the rootcheck alert for the file: $(data.file).550\/etc\/cups\/subscriptions\.conf|\/etc\/cups\/subscriptions\.conf\.OKnown file533Netstart Warnings move down92151C:\\\\Program Files\\\\Veeam\\\\\.+\\\\Veeam\.\w+\.\w+\.exePowershell started by Veeam92152C:\\\\(?i)Windows\\\\(?i)System32\\\\spool\\\\drivers\\\\x64\\\\3\\\\PrintConfig.dllPrinter Powershell commands92204C:\\\\Program Files|Program Files \(x86\)\\\\Google\\\\Chrome\\\\Application\\\\chrome\.exeC:\\\\Users\\\\.+\\\\AppData\\\\Local\\\\Temp\\\\.+\\\\software_reporter_tool\.exeChrome Software Reporter92204C:\\\\Program Files|Program Files \(x86\)\\\\Google\\\\Update\\\\GoogleUpdate\.exeC:\\\\Users\\\\.+\\\\AppData\\\\Local\\Temp\\\\.+\.exeChrome Update5402Successful sudo to ROOT executed (Higher leveled).5501PAM: Login session opened (Higher leveled).5502PAM: Login session closed (Higher leveled).5403First time user executed sudo (Higher leveled).5715sshd: authentication success (Higher leveled).5104Interface entered in promiscuous(sniffing) mode.Interface entered in promiscuous(sniffing) mode - Cortex Analyzer working110009piholewww-dataSuccessful sudo to ROOT executed (Higher leveled).5502piholewww-dataPAM: Login session closed (Down leveled).92151C:\\\\Program Files\\\\Veeam\\\\Backup365\\\\Veeam\.Archiver\.Service\.exe/gmVeeam starts Powershell commands100651, 100653C:\\\\Program Files|Program Files \(x86\)\\\\TeamViewer\\\\Update\\\\update\.exeno_full_logTeamViewer Update550/etc/pihole/\.+Ignoring PIHOLE Updates config92151BITSYSTEMS-GMBH\\\\svc_monitoring|RESDOM\\\\svc_prtgPowershell started by PRTG92151C:\\\\(?i)Windows\\\\(?i)System32\\\\(?i)ServerManager\.exePowershell started by Servermanager92151C:\\\\Program Files \(x86\)\\\\Trend Micro\\\\Security Agent\\\\utilCmdletWrapper\.exePowershell started by TrendMicro92151\w:\\\\Exchange Server\\\\Bin\\\\Microsoft.Exchange.Store.Worker.exePowershell started by Exchange Server92204C:\\\\Program Files (x86)\\\\Citrix\\\\ICA Client\\\\receiver\\\\Receiver.exeC:\\\\Users\\\\\w+\\\\AppData\\\\Local\\\\Temp\\\\\d\\\.+\\\\CitrixReceiverUpdater.exeCitrix Receiver Update119003127.0.0.1|aka.msMisp IoC's downgrade (false/positive)9224C:\\\\Users\\\\\w+\\\\Downloads\\\\MicrosoftEdgeSetup\.exeC:\\\\Users\\\\\.+\\\\AppData\\\\Local\\\\Temp\\\\\.+\\\\\.+\\\\MicrosoftEdgeUpdate\w+\.exeEdge Update510/var/tmp/tmccinstcheck\.datTrendMicro Mac Updatecheck510/tmp/ubuntu-advantage/candidate-versionUbuntu Advantage File92204C:\\\\(?i)Windows\\\\(?i)system32\\\\sdiagnhost\.exeno_full_logCleanMGR - Downlevel Info100652C:\\\\(?i)Windows\\\\(?i)system32\\\\schtasks\.exeC:\\\\Program Files\\\\Common Files\\\\Microsoft Shared\\\\ClickToRunOffice 365 Softwareupdate92900C:\\\\ProgramData\\\\Microsoft\\\\Windows Defender\\\\Platform\\\\.+\\\\MsMpEng\.exeC:\\\\(?i)Windows\\\\(?i)system32\\\\(?i)lsass\.exeDefender Scan lsass.exe92201PSScriptPolicyTestPowershell PSScriptPolicyTest92213C:\\\\(?i)Windows\\\\(?i)system32\\\\ServerManager\.exeServerManager - Downlevel Info100652C:\\\\(?i)Windows\\\\(?i)system32\\\\(?i)schtasks\.exeC:\\\\(?i)Program Files\\\\(?i)Common Files\\\\(?i)microsoft shared\\\\(?i)ClickToRun\\\\(?i)officesvcmgr\.exeOffice 365 Softwareupdate92900C:\\\\(?i)Windows\\\\(?i)system32\\\\svchost\.exe|C:\\\\(?i)Windows\\\\(?i)system32\\\\(?i)MRT\.exeC:\\\\(?i)Windows\\\\(?i)system32\\\\(?i)lsass\.exeSVChost/Defender access lsass.exe510/tmp/filter.lockDownlevel Anomalidetection87702192.168.33.240OPNsense: $(agent.name) on $(hostname) - Source $(srcip) Destionation $(dstip)510 /bin/diffIgnoring the rootcheck alert for the file: $(data.file).92213C:\\\\(?i)Windows\\\\(?i)Application Compatibility Scripts\\\\(?i)acregl\.exeServerManager - Downlevel Info92213C:\\\\Windows\\\\system32\\\\wsmprovhost.exeAppData\\\\Local\\\\Temp\\\\__PSScriptPolicyTest_*Ignore PSScript PolicyTest92213C:\\\\(?i)Windows\\\\(?i)system32\\\\(?i)wsmprovhost\.exe|C:\\\\(?i)Windows\\\\(?i)system32\\\\(?i)sdiagnhost\.exeC:\\\\(?i)Users\\\\\w+\\\\(?i)AppData\\\\(?i)Local\\\\(?i)Temp\\\\__PSScriptPolicyTest_\w+\.\w+\.ps1Ignore PSScript PolicyTest92657MGMT-SRVMGMT-SRV RDP Logon downlevel60602C:\\\\(?i)Windows\\\\(?i)system32\\\\(?i)ntdsperf\.dllWindows Perflib downlevel100652C:\\\\(?i)Program Files\\\\(?i)Common Files\\\\(?i)microsoft shared\\\\(?i)ClickToRun\\\\(?i)officesvcmgr\.exeSchedular Officeupdate downlevel
```
# overwrites-custom-misp.xml
```
119003cdn.discordapp.com|discord.com|discord.ggIgnoring MISP IoC for $(misp.value)119003google.com|www.google.comIgnoring MISP IoC for $(misp.value)119003.+C:\\\\Program Files \(x86\)\\\\PRTG Network Monitor\\\\PRTG Probe\.exeIgnoring MISP IoC for $(misp.value)119003dcIgnoring MISP IoC for $(misp.value)119003sha256e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855Ignoring MISP IoC for $(misp.value)119003127\.0\.0\.1|0\.0\.0\.0|192\.168\.1\.\dIgnoring MISP IoC for $(misp.value)119003php.net|www.php.netIgnoring MISP IoC for $(misp.value)
```
# overwrites-custom-o365.xml
```
91725(?i).+\.prod\.outlook\.com\/Microsoft Exchange Hosted Organizations\/.+\.onmicrosoft\.com\/DiscoverySearchMailbox{.+-.+-.+-.+-.+}Office 365: User got FullAccess permissions in Exchange (Downlevel DiscoverySearchMailbox)office365!GermanyOffice 365 used in: $(GeoLocation.country_name).
```
# overwrites-custom-sophos.xml
```
sophos-utm-customSophos: log without rule117001Authentication successful|AFC Alert|strict TCPSophos: $(status) on $(hostname) - $(module): $(status)117001Authentication failedSophos: $(status) on $(location) - User $(dstuser) [$(srcip)]117001smtpSophos: $(status) on $(hostname) - User $(dstuser) [$(srcip)]117001Packet acceptedSophos: $(status) on $(hostname) - Source $(srcip) Destionation $(dstip)117001Packet droppedSophos: $(status) on $(hostname) - Source $(srcip) Destionation $(dstip)117001Packet dropped (GEOIP)Sophos: $(status) on $(hostname) - Source $(srcip) Destionation $(dstip)117001/var/chroot-httpd/var/webadmin/extra/httpd_session_cleanupSophos: httpdcleanup on $(hostname)
```
# overwrites-unifi-udm-custom.xml
```
unifi-udm-customUnifi: log without rule
```