Ihre Fragen zum Webinar Wazuh SIEM und XDR Der schnelle Einstieg in Security Monitoring mit Michael Münz von der m.a.x. it vom 01.10.2025

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Dieser Artikel zeigt eine Auswahl der gestellten Fragen des Webinars Wazuh SIEM und XDR Der schnelle Einstieg in Security Monitoring mit Michael Münz von der m.a.x. it. Das ganze Video finden Sie bei Youtube auf dem Kanal von Thomas-Krenn.

Wie ist die Abgrenzung Wazuh zu Graylog?

  • Beide machen Syslog, aber Graylog hat keinen Agent.
  • Graylog ist ein Syslog Server mit einer guten grafischen Oberfläche.

Arbeitet Wazuh auch mit Trellix ENS und Trellix EDR zusammen?

Ja mit Trellix ENS geht, Kompatibilität zu EDR nicht sicher.

Beim "Compliance Check" von deutschsprachigen Windows PCs bei dem die Ausgabe von "net accounts .." geprüft wird, prüft der Filter scheinbar nur gegen englische Ausgabe. Gibt es da Lösungen?

  • Viel Arbeit, so einen Compliance Check muss man selber machen.
  • Dies ist ein hoher Aufwand und von wird denjenigen die dies selber gemacht haben auch nicht rausgegeben.

Das Erstellen der SIEM-UC bzw. der Regeln ist ja immer recht aufwändig. Gibt es da ein Default-Set in Anlehnung an Mitre?

  • Leider gibt es kein Default Set

Es wurden Schulungen, Unterstützung, Ersteinrichtung angesprochen. Gibt es nähere Infos dazu?

Worin liegt der grundlegende Unterschied zwischen Monitoring via Zabbix und SIEM wie Wazuh?

  • Zabbix überwacht Systeme und nicht Logdateien (die die Systeme generieren) wie bei Wazuh.
  • Zabbix greift auf die Systeme zu und liefert Metriken.
  • Für Logs ist Zabbix initial nicht gemacht worden.

Geht auch Überwachung einer Palo Alto Firewall?

  • Ja das geht, das Log kann decodiert werden.
  • Es gibt nicht sehr viele Regeln
  • In Wazuh bei Server Management Rules dann nach Palo Alto suchen.
  • Ein eigener Regelsatz ist für Palo Alto vorhanden, ist noch XML wird noch auf YAML umgestellt.

Gibt es bei Wazuh sowas wie das Common Information Model von Splunk, sodass man eine Regel wie fehlerhafte Admin-Anmeldungen über die unterschiedlichsten Logquellen über eine Abstraktionsschicht laufen lassen kann?

  • Ja dies geht, die fehlerhafte Anmeldung wird durch eine Regel erkannt.
  • Dies kann in den Filtern auch über Gruppen gelöst werden.

Gibt es bereits Referenzimplementationen für Debian 13 "Trixie"?

  • Ja dies sollte funktionieren, noch nicht selber getestet.

Gibt es vorbereitete Standard VM's?

  • Es gibt OVA Templates, aber nicht produktiv einsetzen sondern lieber selber aufsetzen.
  • Die Anleitungen von Wazuh sind hier sehr hilfreich.

Ist es möglich das Wazuh in Zabbix Server zu integrieren, so das man den die erforderlichen Daten/Events über den Zabbix Agent der bereits auf den Server/Cluster System installiert ist analysiert?

  • Ja dies geht, man schickt die Events dann an Zabbix.

Kann ich Dienste/Apps in Wazuh beenden/deinstallieren?

  • Funktionen kann man deaktivieren (z.B. Syscollector dann wird nicht inventarisiert), deinstallieren nicht.

Kann ich eigene Dienste die wir entwickelt haben einbinden? Es sind auch Logs, kann man beim erstellen der Rules Hilfe bekommen?

  • Ja dies ist möglich
  • Eine Unterstützung durch Experten der m.a.x. it ist natürlich hierbei möglich.

Kann man auch Sophos Central anbinden?

  • Ja dies wird von Wazuh unterstützt.

Kann man die Agents automatisiert ausrollen? Gibt es bei der Ausrollung etwas zu beachten, z.B. Verschlüssungskey für den Austausch zwischen Agent und Wazuh-Server?

  • Man kann es mit Passwörtern oder Zertifikaten schützen oder per GPO ausrollen.
  • Es gibt viele Wege die Agents auszurollen.

Kann man die Netzwerk-Infrastruktur nicht nur über Syslog sondern auch SNMP überwachen. Kann man das mit Wazuh direkt oder braucht man z. B. PRTG?

  • Das geht nicht direkt und ist nicht vorgesehen.
  • Wazuh arbeitet mit Logs nicht mit Metriken.

Kann man Wazuh zu Testzwecken auch als Docker Container aufbauen?

  • Kann man machen, aber wirklich nur zu Testzwecken.

Kleiner Tipp, eine GPO erstellen zum Logging von "Befehlszeile in Prozesserstellungsereignisse einschließen". Das schafft Transparenz bei allen ausgeführten CMDs oder PowerShell Befehlen in der Windows Infrastruktur.

  • Ja guter Tipp. Über eine GPO ist vieles möglich, z.B. Powershell Befehle ausführen.

Lässt sich Wazuh mit Netbox verbinden/integrieren?

  • Nicht nativ, über ein Skript möglich

Läuft Dienst X, wie viele User sind angemeldet, ist dies überwachbar?

  • Kann man über eine Suche lösen, kein Resultat zur Suche "Anydesk" und dann läuft der Dienst nicht.
  • Man kann auch angemeldete User prüfen, dies lässt sich über CDB Listen machen.

Ist Agentless loggen, z.B. ein Drucker, möglich?

  • Alles was Syslog kann kann überwacht werden
  • Hierzu die rsyslog Anleitungen im Zusammenspiel mit Wazuh beachten

Lohnt sich Wazuh für VDI? Also den Agent auf den Klonen laufen zu lassen?

  • Ja das kann man machen, in das Golden Image den Agenten einbauen sollte möglich sein.

Macht es Sinn bzw. kann ich Wazuh und Graylog integrieren?

  • Ja, Graylog lässt sich in Wazuh integrieren.

Was für ein Performance Impact ist zu erwarten wenn ein Wazuh Agent auf Windows & Linux läuft?

  • Es hat keine hohe Auswirkung, etwa 5% Last mehr.

Was kann man mit dem Agent alles machen? Also kann man wenn man den Wazuh Server übernommen hat weiter gehen über den Agent?

  • Hier gab es vor kurzem einen Fall, das Rollout eines Agents erfolgt bei Windows per Powershell Befehl.
  • Hier wurde das Powershell Skript manipuliert, damit der Agent Kommandos von einem kompromittierten Wazuh Server annimmt.

Wazuh besteht ja aus den drei Komponenten Indexer, Server und Dashboard. Kann das alles auf einem Server installiert werden?

  • Ja dies geht, selbst bei einer sehr hohen Anzahl von Logs kann man Wazuh in einer VM laufen lassen (mit ordentlich Leistung und Speicherplatz).

Welchen Syslog-Server würden Sie empfehlen?

  • Wir empfehlen Rsyslog

Welches EDR verträgt sich gut mit Wazuh?

  • Sentinel One, Bitdefender, Windows Defender, lokale Windows Defender Logs sammeln und mit Wazuh auswerten.
  • Es werden viele EDR Lösungen unterstützt, eine Websuche hilft hierbei.

Wie schlägt sich Wazuh im Vergleich zum Elastic SIEM?

  • Das Kknn man leider nicht pauschal beantworten.
  • Hier kommt es auf die Use-Cases an.

Wir haben einen nginx Proxy in Docker laufen, überwacht der Wazuh Agent die nginx access logs automatisch?

  • Man kann im Agent festlegen welche Dateien man überwachen will
  • Der nginx muss hier noch hinzugefügt werden
  • Ein nginx Decoder für die Logs ist verfügbar

Wir nutzen derzeit Loki als zenrales Log. Kann ich mit Wazuh auch die Loki logs parsen? (Anwendungslogs, FW-Logs, etc...) Inwieweit ergibt der Wazuh Agent auf den Endpunkten dann noch Sinn, parse ich dann alle Logs von Endpoint-Enableten Agents doppelt?

  • Man kann es auch ohne Agents auf den Endgeräten lösen, z.B. über Sentinel One.
  • Logs dann aufsplitten wenn dann auch an Loki geloggt werden soll.

Gibt es Hardware Empfehlungen zum Betrieb von Wazuh?

  • Zur Evaluationszwecken gerne eine VM installieren, sehr gute Skalierbarkeit darüber.
  • Bis zu 100 Agents (immer abhängig wie viele Logs) dann 8 Cores und 16 GB RAM.
  • Gewünschte Log Speicherdauer ist bezüglich Speicherplatz entscheidend.
  • Speicher 500 GB reicht für 2 Monate bei 100 Agents so über den Daumen gepeilt.
  • Generell ist Sizing von Wazuh immer eine indivduelle Betrachtung, eine Art Konfigurator hätten wir probiert aber es ist zu komplex.

Kateorie: Monitoring

Autor: Thomas Niedermeier

Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.