Dieser Artikel dürfte recht lang werden und wird auch nach und nach erweitert. Ein SIEM ist nur so gut, wie es konfiguriert ist – grundsätzlich sammelt WAZUH erst mal alle Informationen, es liegt nun an euch, WAZUH beizubringen wann es euch informiert.
Grundeinrichtung 24.06.2022:
- Als erstes möchte ich Wissen ob im Netzwerk bestimmte Funktionen genutzt werden, welche oft bei Angriffen verwendet werden. Dies richte ich nach dieser Anleitung ein: https://wazuh.com/blog/monitoring-commonly-abused-windows-utilities/ – jedoch nutze ich nicht Warnstufe 7 bei den Clients, sondern 12 (werden höher gewarnt und auch per Email gesendet).
- Einige Warnungen haben einen sehr niedrigen Level – z.B. die für Printernightmare – deshalb habe ich den Warnlevel für Emailwarnungen (Dashboard > Mangement > Configuration > Edit Configuration) von 12 auf 6 gesetzt.
<alerts>
<log_alert_level>3</log_alert_level>
<email_alert_level>6</email_alert_level>
</alerts>Update 26.6.22:
Ich habe noch in der Gruppe Windows (Wazuh Dashboard > Mangement > Groups) – welche alles Windows Geräte enthält, die den Inhalt wie folgt geändert, da ich noch mehr an Informationen möchte:
<agent_config>
<!-- Shared agent configuration here -->
</agent_config>
<agent_config os="windows">
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Application</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>security</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-Sysmon</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Microsoft-Windows-Windows Defender/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
<localfile>
<location>Service Microsoft-Windows-TerminalServices-RemoteConnectionManager</location>
<log_format>eventchannel</log_format>
</localfile>
</agent_config>Danach den Wazuh-Manager Dienst neustarten (z.B. unter Wazuh Dashboard > Management > Configuration > Edit Configuration > Restart Manager). Nach einiger Zeit kann man dann auf dem entsprechenden Server unter C:\Program Files (x86)\Ossec-agent\shared\agent.conf kontrollieren ob die Infos mittlerweile angekommen sind. Ggf. muss noch der Wazuh-Agent neugestartet werden, damit die Neuerungen übernommen werden.
