16
German - Deutsch / Re: Wazuh für Anfänger
« on: September 21, 2021, 10:11:53 am »
Ich verstehe ein wenig, vielen Dank für den Tipp. Im Log finde ich dann alle Ereignisse, und es wächst ganz schön schnell.
Mir ist noch nicht so ganz klar wie es mit dem Decodieren geht.
https://documentation.wazuh.com/current/learning-wazuh/suricata.html
Demnach müsste ich sowohl auf der Quelle (OPNsense) als auch auf dem Wazuh-Server Suricata installieren... vermutlich in meinem Fall nicht auf der Quelle, weil ich keinen Wazuh-Agent benutze, sondern nur auf dem Ziel. Aber ist das wirklich richtig verstanden - ich muss auf dem Wazuh-Server Suricata installieren? Kommt mir merkwürdig vor, bin ich auf dem Holzweg?
Bin ich irgendwie richtig, wenn ich annehme, dass danach zwei Schritte erforderlich sind:
Decoder wie hier beschrieben:
https://documentation.wazuh.com/current/user-manual/ruleset/json-decoder.html
Ruleset in diesen Dateien:
https://documentation.wazuh.com/current/user-manual/ruleset/custom.html
Trotz der umfangreichen Docs auf Wazuh habe ich das Gefühl, gerade nicht weiter zu kommen. Nur so eine Ahnung: Die vorgefertigten Funktionen für Suricata kann ich nicht nutzen, so lange ich Syslog verwende und keinen Wazuh-Agent. Zumindest bezüglich Decoder; wenn ich da weiter bin, könnten die Suricata-Rulesets greifen.
Mir ist noch nicht so ganz klar wie es mit dem Decodieren geht.
https://documentation.wazuh.com/current/learning-wazuh/suricata.html
Demnach müsste ich sowohl auf der Quelle (OPNsense) als auch auf dem Wazuh-Server Suricata installieren... vermutlich in meinem Fall nicht auf der Quelle, weil ich keinen Wazuh-Agent benutze, sondern nur auf dem Ziel. Aber ist das wirklich richtig verstanden - ich muss auf dem Wazuh-Server Suricata installieren? Kommt mir merkwürdig vor, bin ich auf dem Holzweg?
Bin ich irgendwie richtig, wenn ich annehme, dass danach zwei Schritte erforderlich sind:
Decoder wie hier beschrieben:
https://documentation.wazuh.com/current/user-manual/ruleset/json-decoder.html
Ruleset in diesen Dateien:
https://documentation.wazuh.com/current/user-manual/ruleset/custom.html
Trotz der umfangreichen Docs auf Wazuh habe ich das Gefühl, gerade nicht weiter zu kommen. Nur so eine Ahnung: Die vorgefertigten Funktionen für Suricata kann ich nicht nutzen, so lange ich Syslog verwende und keinen Wazuh-Agent. Zumindest bezüglich Decoder; wenn ich da weiter bin, könnten die Suricata-Rulesets greifen.