<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Wazuh_POCs</id>
	<title>Wazuh POCs - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Wazuh_POCs"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Wazuh_POCs&amp;action=history"/>
	<updated>2026-07-06T03:56:43Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Wazuh_POCs&amp;diff=71460&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „=Wazuh Proof-of-Concept – Sammlung= Diese Seite bündelt sechs native Wazuh-POCs für das Lab. Jeder POC folgt demselben Bogen: '''Config → Angriff → Ale…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Wazuh_POCs&amp;diff=71460&amp;oldid=prev"/>
		<updated>2026-06-26T14:06:13Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „=Wazuh Proof-of-Concept – Sammlung= Diese Seite bündelt sechs native Wazuh-POCs für das Lab. Jeder POC folgt demselben Bogen: &amp;#039;&amp;#039;&amp;#039;Config → Angriff → Ale…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;=Wazuh Proof-of-Concept – Sammlung=&lt;br /&gt;
Diese Seite bündelt sechs native Wazuh-POCs für das Lab. Jeder POC folgt demselben Bogen: '''Config → Angriff → Alert → Dashboard'''. Der Suricata-NIDS-POC ist separat dokumentiert. Angreifer ist durchgehend die '''Kali'''.&lt;br /&gt;
&lt;br /&gt;
'''Wichtig:''' Vor jedem POC einen VM-Snapshot ziehen — so starten alle Tests aus einem sauberen Zustand und stören sich nicht gegenseitig.&lt;br /&gt;
&lt;br /&gt;
{| class=&amp;quot;wikitable&amp;quot;&lt;br /&gt;
! POC !! Ziel-Host (Agent) !! Angreifer&lt;br /&gt;
|-&lt;br /&gt;
| FIM || ubuntu || — (lokale Änderung)&lt;br /&gt;
|-&lt;br /&gt;
| Vulnerability Detection || ubuntu || — (altes Paket)&lt;br /&gt;
|-&lt;br /&gt;
| Brute-Force SSH || ubuntu || Kali (hydra)&lt;br /&gt;
|-&lt;br /&gt;
| Active Response || ubuntu || Kali&lt;br /&gt;
|-&lt;br /&gt;
| SQL Injection || VulnSite || Kali (curl)&lt;br /&gt;
|-&lt;br /&gt;
| Windows (3 Varianten) || win11 || je nach Variante&lt;br /&gt;
|}&lt;br /&gt;
&lt;br /&gt;
==POC 1: File Integrity Monitoring==&lt;br /&gt;
Wazuh überwacht ein Verzeichnis und meldet Anlegen, Ändern und Löschen von Dateien.&lt;br /&gt;
&lt;br /&gt;
====Agent konfigurieren (ubuntu)====&lt;br /&gt;
;In ''/var/ossec/etc/ossec.conf'' den syscheck-Block ergänzen&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
&amp;lt;syscheck&amp;gt;&lt;br /&gt;
  &amp;lt;directories check_all=&amp;quot;yes&amp;quot; report_changes=&amp;quot;yes&amp;quot; realtime=&amp;quot;yes&amp;quot;&amp;gt;/root&amp;lt;/directories&amp;gt;&lt;br /&gt;
&amp;lt;/syscheck&amp;gt;&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Agent neu starten&lt;br /&gt;
* systemctl restart wazuh-agent&lt;br /&gt;
&lt;br /&gt;
====Angriff auslösen====&lt;br /&gt;
;Datei anlegen und ändern&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
echo &amp;quot;test&amp;quot; &amp;gt; /root/fim-test.txt&lt;br /&gt;
echo &amp;quot;geaendert&amp;quot; &amp;gt;&amp;gt; /root/fim-test.txt&lt;br /&gt;
rm /root/fim-test.txt&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
====Kontrolle====&lt;br /&gt;
* Dashboard → ''Threat Hunting'', Filter ''rule.id:(550 OR 554)''&lt;br /&gt;
* 554 = Datei angelegt, 550 = Datei geändert. ''report_changes'' zeigt zusätzlich das Diff.&lt;br /&gt;
&lt;br /&gt;
==POC 2: Vulnerability Detection==&lt;br /&gt;
Der Agent inventarisiert installierte Pakete (Syscollector), der Manager gleicht gegen den CVE-Feed ab.&lt;br /&gt;
&lt;br /&gt;
====Scan-Intervall verkürzen (ubuntu)====&lt;br /&gt;
Standard ist 1h — für den Kurs auf 10m runter, sonst zu lange Wartezeit.&lt;br /&gt;
;In ''/var/ossec/etc/ossec.conf'' den wodle-Block anpassen&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
&amp;lt;wodle name=&amp;quot;syscollector&amp;quot;&amp;gt;&lt;br /&gt;
  &amp;lt;interval&amp;gt;10m&amp;lt;/interval&amp;gt;&lt;br /&gt;
  &amp;lt;packages&amp;gt;yes&amp;lt;/packages&amp;gt;&lt;br /&gt;
&amp;lt;/wodle&amp;gt;&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Agent neu starten&lt;br /&gt;
* systemctl restart wazuh-agent&lt;br /&gt;
&lt;br /&gt;
====Schwachstelle einbauen====&lt;br /&gt;
;Bewusst veraltetes Paket installieren (Beispiel)&lt;br /&gt;
* apt install -y --allow-downgrades &amp;lt;altes-paket&amp;gt;=&amp;lt;verwundbare-version&amp;gt;&lt;br /&gt;
* Nach ca. 10 Minuten läuft ein neuer Scan&lt;br /&gt;
&lt;br /&gt;
====Kontrolle====&lt;br /&gt;
* Dashboard → ''Vulnerability Detection → Inventory'' — die CVEs des Hosts erscheinen&lt;br /&gt;
;Schwachstelle wieder schließen (zeigt das Auflösen)&lt;br /&gt;
* apt remove -y &amp;lt;altes-paket&amp;gt;&lt;br /&gt;
* Nach dem nächsten Scan verschwindet der Eintrag&lt;br /&gt;
&lt;br /&gt;
==POC 3: Brute-Force SSH==&lt;br /&gt;
Wazuh korreliert mehrere fehlgeschlagene Logins zu einem Brute-Force-Alert (Rules out-of-the-box).&lt;br /&gt;
&lt;br /&gt;
====Voraussetzung====&lt;br /&gt;
* SSH auf der ubuntu aktiv, Agent läuft&lt;br /&gt;
&lt;br /&gt;
====Angriff von Kali====&lt;br /&gt;
;Passwortliste anlegen und hydra laufen lassen&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
for i in $(seq 1 10); do echo &amp;quot;falsch$i&amp;quot;; done &amp;gt; bad-passwords.txt&lt;br /&gt;
hydra -l kit -P bad-passwords.txt ssh://&amp;lt;ubuntu-ip&amp;gt;&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
====Kontrolle====&lt;br /&gt;
* Dashboard → ''Threat Hunting'', Filter ''rule.id:(5551 OR 5712)''&lt;br /&gt;
* 5551 = mehrere Auth-Fehler, 5712 = SSHD Brute-Force erkannt&lt;br /&gt;
&lt;br /&gt;
==POC 4: Active Response – Angreifer blocken==&lt;br /&gt;
Baut direkt auf POC 3 auf: nach erkanntem Brute-Force blockt der Manager die Quell-IP per firewall-drop.&lt;br /&gt;
&lt;br /&gt;
====Manager konfigurieren====&lt;br /&gt;
;In ''/var/ossec/etc/ossec.conf'' auf dem '''Wazuh-Manager''' (nicht dem Agent)&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
&amp;lt;active-response&amp;gt;&lt;br /&gt;
  &amp;lt;command&amp;gt;firewall-drop&amp;lt;/command&amp;gt;&lt;br /&gt;
  &amp;lt;location&amp;gt;local&amp;lt;/location&amp;gt;&lt;br /&gt;
  &amp;lt;rules_id&amp;gt;5712&amp;lt;/rules_id&amp;gt;&lt;br /&gt;
  &amp;lt;timeout&amp;gt;60&amp;lt;/timeout&amp;gt;&lt;br /&gt;
&amp;lt;/active-response&amp;gt;&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Manager neu starten&lt;br /&gt;
* systemctl restart wazuh-manager&lt;br /&gt;
&lt;br /&gt;
====Angriff wiederholen====&lt;br /&gt;
* hydra-Angriff aus POC 3 erneut von Kali starten&lt;br /&gt;
&lt;br /&gt;
====Kontrolle====&lt;br /&gt;
* Dashboard → ''Threat Hunting'', Filter ''rule.groups:active_response''&lt;br /&gt;
* Auf der ubuntu: die Kali-IP ist für 60s in iptables geblockt (''iptables -L'')&lt;br /&gt;
&lt;br /&gt;
==POC 5: SQL Injection==&lt;br /&gt;
Wazuh erkennt SQLi durch Analyse des Apache-Access-Logs. Das ist die Brücke zur späteren WAF-Anbindung: hier sieht Wazuh den Angriff '''am Webserver''', später blockt Coraza ihn '''davor'''.&lt;br /&gt;
&lt;br /&gt;
====Agent konfigurieren (VulnSite)====&lt;br /&gt;
;In ''/var/ossec/etc/ossec.conf'' das Apache-Log einbinden&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
&amp;lt;localfile&amp;gt;&lt;br /&gt;
  &amp;lt;log_format&amp;gt;apache&amp;lt;/log_format&amp;gt;&lt;br /&gt;
  &amp;lt;location&amp;gt;/var/log/apache2/access.log&amp;lt;/location&amp;gt;&lt;br /&gt;
&amp;lt;/localfile&amp;gt;&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Agent neu starten&lt;br /&gt;
* systemctl restart wazuh-agent&lt;br /&gt;
&lt;br /&gt;
====Angriff von Kali====&lt;br /&gt;
;SQLi-Pattern per curl absetzen&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
curl -XGET &amp;quot;http://&amp;lt;vulnsite-ip&amp;gt;/users/?id=SELECT+*+FROM+users&amp;quot;&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
====Kontrolle====&lt;br /&gt;
* Dashboard → ''Threat Hunting'', Filter ''rule.id:31103''&lt;br /&gt;
* 31103 = SQLi-Versuch, 31106 = erfolgreiche SQLi (liefert Daten zurück)&lt;br /&gt;
&lt;br /&gt;
==POC 6: Windows (drei Varianten)==&lt;br /&gt;
Agent auf win11. Such dir eine Variante aus — alle drei sind ohne Custom-Rules lauffähig.&lt;br /&gt;
&lt;br /&gt;
====6a: FIM Windows-Registry (Persistence)====&lt;br /&gt;
Überwacht den Autostart-Run-Key — klassische Malware-Persistence.&lt;br /&gt;
;In der Agent-''ossec.conf'' (Windows: ''C:\Program Files (x86)\ossec-agent\ossec.conf'')&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
&amp;lt;syscheck&amp;gt;&lt;br /&gt;
  &amp;lt;windows_registry arch=&amp;quot;both&amp;quot;&amp;gt;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run&amp;lt;/windows_registry&amp;gt;&lt;br /&gt;
&amp;lt;/syscheck&amp;gt;&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;Agent-Dienst neu starten (PowerShell als Admin)&lt;br /&gt;
* Restart-Service WazuhSvc&lt;br /&gt;
;Angriff: Run-Key setzen&lt;br /&gt;
* reg add &amp;quot;HKLM\Software\Microsoft\Windows\CurrentVersion\Run&amp;quot; /v evil /t REG_SZ /d &amp;quot;C:\temp\evil.exe&amp;quot;&lt;br /&gt;
* Kontrolle: Dashboard → ''Threat Hunting'', Filter ''rule.groups:syscheck_entry_modified''&lt;br /&gt;
&lt;br /&gt;
====6b: Brute-Force RDP====&lt;br /&gt;
Wazuh korreliert Windows-Logon-Fehler (Event-ID 4625) zum Brute-Force-Alert.&lt;br /&gt;
;Angriff von Kali&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
hydra -l administrator -P bad-passwords.txt rdp://&amp;lt;win11-ip&amp;gt;&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
;Kontrolle&lt;br /&gt;
* Dashboard → ''Threat Hunting'', Filter ''rule.groups:authentication_failures''&lt;br /&gt;
* Die korrelierte Windows-Brute-Force-Rule feuert nach mehreren 4625-Events&lt;br /&gt;
&lt;br /&gt;
====6c: VirusTotal + Active Response (EICAR)====&lt;br /&gt;
FIM erkennt eine neue Datei, VirusTotal prüft den Hash, Active Response löscht sie automatisch.&lt;br /&gt;
;'''Voraussetzung:''' Manager braucht Internet und einen VirusTotal-API-Key&lt;br /&gt;
;In der Manager-''ossec.conf''&lt;br /&gt;
&amp;lt;pre&amp;gt;&lt;br /&gt;
&amp;lt;integration&amp;gt;&lt;br /&gt;
  &amp;lt;name&amp;gt;virustotal&amp;lt;/name&amp;gt;&lt;br /&gt;
  &amp;lt;api_key&amp;gt;DEIN_VT_API_KEY&amp;lt;/api_key&amp;gt;&lt;br /&gt;
  &amp;lt;rule_id&amp;gt;550,554&amp;lt;/rule_id&amp;gt;&lt;br /&gt;
&amp;lt;/integration&amp;gt;&lt;br /&gt;
&amp;lt;/pre&amp;gt;&lt;br /&gt;
;FIM auf einen Download-Ordner der win11 setzen (siehe 6a, anderer Pfad)&lt;br /&gt;
;Angriff: EICAR-Testdatei ablegen&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;powershell&amp;quot;&amp;gt;&lt;br /&gt;
'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' | Out-File C:\downloads\eicar.com&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
;Kontrolle&lt;br /&gt;
* Dashboard → ''Threat Hunting'', Filter ''rule.groups:virustotal''&lt;br /&gt;
* VirusTotal flaggt die Datei, Active Response entfernt sie&lt;br /&gt;
&lt;br /&gt;
[[Kategorie:WAZUH]]&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>