Search Results

Artikel folgt noch ...

Artikel folgt noch ...

Der zentrale Datenbestand liegt im Wazuh - hier werden alle Daten hin geliefert. Hier benötigen Systemadministratoren und SOC Mitarbeiter Zugriffsrechte um ggf. Systeme hinzuzufügen oder zu entfernen. Die Daten werden überwacht und zur weiteren Auswertung an ...

Artikel folgt noch ...

Installieren eines Ubuntu 22.04 LTS Server als Minimalversion mit angepassten LVM Setup und aktivierten SSH Server. Anschließend aktualisieren: sudo apt update sudp apt upgrade sudo init 6 Sollte dies nicht der Wazuh Server werden, anschließend Wazuh Agen...

Bevor sie updaten, stellen sie bitte sicher das sie in aktuelles Backup haben oder ein Snapshot erstellt haben - sofern sie Virtualisierung nutzen. Loggen sie sich auf dem The Hive Server ein per SSH oder Console. Rest folgt noch ...

In der Version bis 5.0.23-1 hatte ich das Problem, das ich Cases und Alerts unter bestimmen Umständen nicht mehr löschen konnte. Dies wurde gemeldet und soll mit der Version 5.1.1. behoben sein.

Meldet euch im Wazuh an und wählt dann unter den Agents > Deploy Agent. Alternativ aber auch hier noch mal. Windows Wazuh Agent installieren: Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.6.0-1.msi -OutFile ${env.tmp}\wazuh-age...

Elastic Agent installieren: $ProgressPreference = 'SilentlyContinue' Invoke-WebRequest -Uri https://artifacts.elastic.co/downloads/beats/elastic-agent/elastic-agent-8.10.4-windows-x86_64.zip -OutFile elastic-agent-8.10.4-windows-x86_64.zip Expand-Archive .\el...

[Rule 510]: Trojaned version of file detected (/bin/diff) Lösung: Copy https://github.com/ossec/ossec-hids/blob/master/src/rootcheck/db/rootkit_trojans.txt to /var/ossec/etc/shared/ on your hub server. upgrade from source out of master Weitere Informat...

<!-- Modify it at your will. --> <group name="overwrites-custom-warnings"> <rule id="60107" level="4" overwrite="yes"> <if_sid>60104</if_sid> <field name="win.system.eventID">^577$|^4673$</field> <options>no_full_log</options> <descript...

<!-- Custom overwrites for MISP --> <group name="overwrites-misp,"> <rule id="116001" level="4"> <if_sid>119003</if_sid> <field name="misp.value" type="pcre2">cdn.discordapp.com|discord.com|discord.gg</field> <description>Ignoring MISP IoC...

<!-- Modify it at your will. --> <group name="overwrites-custom-o365,"> <rule id="118001" level="4"> <if_sid>91725</if_sid> <field name="office365.objectid" type="pcre2">(?i).+\.prod\.outlook\.com\/Microsoft Exchange Hosted Organizations\/.+\.on...

<!-- Modify it at your will. --> <!-- Rules for Sophos UTM Custom --> <group name="syslog,sophos,"> <rule id="117001" level="3"> <decoded_as>sophos-utm-custom</decoded_as> <description>Sophos: log without rule</description> </rule> <...

<!-- Modify it at your will. --> <group name="syslog,unifi,"> <rule id="114001" level="3"> <decoded_as>unifi-udm-custom</decoded_as> <description>Unifi: log without rule</description> </rule> </group>

Installation Ubuntu minimized Server mit fester IPv4 und deaktiviertem IPv6. Ein Video zur Installation findet ihr hier: https://www.youtube.com/watch?v=L2ltLf_IMIM  Weiter wie folgt: sudo bash apt update apt upgrade apt install qemu-guest-agent tim...

Netzaufbau: Netzwerkplan (Host RZ): Die Infrastruktur steht in einem Rechenzentrum (kurz RZ), da der Betrieb zuhause Probleme bereitet, wie z.B. Kein Reverselookup Auch bei einer festen IP kommen die Adressen aus einem Dynamic Range und bekommen somi...

Anpassungen Mailcow UI Das Favicon kann man wie folgt ändern: Loggt euch per SSH ein auf dem Dockerserver Wechselt in das Verzeichnis /opt/mailcow-dockerized/data/web sudo cp favicon.png favicon.png.orig sudo  wget https://www.leibling.de/wp-content/upl...

Das Design von SOGo läßt sich ebenfalls anpassen. Weitere Informationen https://community.mailcow.email/d/709-customize-sogo-theme/4 https://docs.mailcow.email/manual-guides/SOGo/u_e-sogo/ https://github.com/NlightN22/sogo-dark-red https://m1.material.i...

Weiterleitung von HTTP auf HTTPS Weitere Informationen: https://docs.mailcow.email/manual-guides/u_e-80_to_443/?h=http Kontrollieren Sie die Datei /opt/mailcow-dockerized/mailcow.conf ob der Eintrag "HTTP_BIND" vorhanden ist. Erstellen Sie die Datei /opt/ma...