Wazuh für SIEM Logs im neuen Unifi Network

Es gibt 5 Antworten in diesem Thema, welches 730 mal aufgerufen wurde. Der letzte Beitrag () ist von Bigdog71.

  • Hallo,


    ich habe mal Wazuh installiert (als VM) und habe hinbekommen, dass die UDM die Logs hier hin schickt.


    Ist gar nicht so leicht mit der Konfiguration, aber am Ende kommen die Logs an.

    Nachdem man noch einen manuellen Index erstellt hat kann man in der UI schon was sehen.

    Leider benötigt man für die wirklich sinnvolle Anwendung Unifi spezifische Decoder und Rules. Bis jetzt habe ich noch nichts gefunden evtl muss ich da noch etwas an Zeit investieren.


    Aber es ist zum Beispiel ganz nett zu sehen wie viele Devices am Ende gegen die Firewall laufen (dank Defcons strengen Regeln :winking_face: ).


    Hat jemand schon Erfahrung mit Wazuh oder einem anderen Open Source SIEM Tool?

  • Moin,

    Wazuh läuft ja wie viele Tools auf OpenSearch, vielleicht findest du mit dem Stichpunkt etwas.

    Ich habe mir gestern auch vorgenommen nen Syslog Server aufzusetzen weil mir paar Server abgestürzt sind und vorher Infos zu bekommen ist immer besser als am ende elendige Logs anzuschauen.

  • Sieht ja elastic sehr ähnlich... :grinning_squinting_face: :grinning_squinting_face: :grinning_squinting_face:

    Das schaue ich mir nochmal als Docker-Variante an...

  • So habe es auch in der UI Community gepostet, hier mal mein erster Wurf an Regeln.