Mit der Veröffentlichung von Wazuh 4.12.0 setzt das Open-Source-Security-Projekt erneut Maßstäbe in Sachen Bedrohungserkennung, Compliance und Plattformvielfalt. In diesem Blogbeitrag stelle ich Ihnen die spannendsten Neuerungen und Verbesserungen vor, die diese Version mit sich bringt – und erkläre, was sie konkret für Ihre IT-Sicherheit bedeuten.
1. Enriched Vulnerability Context: Mehr Kontext für Schwachstellen
Eine der herausragenden Neuerungen ist die Integration von Cyber Threat Intelligence (CTI) Referenzen direkt in die Ergebnisse der Schwachstellenerkennung im Wazuh Dashboard. Für jede gefundene CVE wird nun ein dynamischer Link zur Wazuh Vulnerability Explorer Plattform angezeigt. Das bringt Ihnen:
- Schnellen Zugriff auf externe Bedrohungsinformationen
- Konsolidierte Daten aus verschiedenen Quellen (z.B. Betriebssystemhersteller, Sicherheitsdatenbanken)
- Bessere Entscheidungsgrundlage für die Bewertung und Priorisierung von Schwachstellen
Dadurch erhalten Sie nicht nur eine Liste von Schwachstellen, sondern direkt den Kontext, wie kritisch diese im aktuellen Bedrohungsumfeld sind.
In der Spalte „vulnerability.id“ wird nun ein dynamischer Link angezeigt. In diesem Beispiel zu „CVE-2024-5569“.
Die Schwachstelle wird nun umfassend beschrieben:
Nach einem Update auf die neue Version beachten Sie bitte, dass der dynamische Link erst angezeigt wird, nachdem eine neue Schwachstellenprüfung auf dem Endpunkt durchgeführt wurde.
2. File Integrity Monitoring (FIM) mit eBPF-Support
Die Überwachung von Dateiänderungen ist ein zentrales Feature von Wazuh. Mit Version 4.12.0 wird das FIM-Modul um eBPF-Unterstützung erweitert:
- eBPF (Extended Berkeley Packet Filter) läuft direkt im Linux-Kernel und ermöglicht eine schnellere, ressourcenschonende Erkennung von Datei- und Ordneränderungen.
- Keine Abhängigkeit mehr vom Audit-Subsystem: Fällt eBPF aus, schaltet Wazuh automatisch auf Auditd oder inotify um.
- Verbesserte „Who-Data“-Erfassung: Sie sehen jetzt noch genauer, welcher Benutzer und Prozess eine Änderung ausgelöst hat.
- Flexible Konfiguration: Im
<whodata>-Block der FIM-Konfiguration können Sie explizit den gewünschten Provider wählen.
Das Ergebnis: Mehr Performance, weniger Overhead und noch bessere Nachvollziehbarkeit von Dateiänderungen auf Linux-Endpunkten.
3. ARM-Support für zentrale Komponenten
Wazuh wird noch flexibler: Manager, Indexer und Dashboard sind jetzt auch auf ARM-Architektur lauffähig. Das eröffnet Ihnen neue Möglichkeiten, Wazuh auf verschiedenster Hardware einzusetzen – von Raspberry Pi bis zu modernen ARM-Servern in der Cloud.
4. Neue SCA-Policy für Linux: Mehr Compliance, mehr Sicherheit
Das Security Configuration Assessment (SCA) erhält ein Update:
- Neue, CIS-konforme SCA-Policy für Linux
- Ersetzt die bisherige UNIX-Standard-Policy
- Deckt mehr Linux-Distributionen ab
- Erhöhte Compliance-Unterstützung für Unternehmen, die sich an aktuelle Benchmarks halten müssen
Damit wird die Konfigurationsbewertung auf Linux-Systemen noch präziser und umfassender.
Fazit
Mit Wazuh 4.12.0 wird das Open-Source-Security-Tool noch leistungsfähiger, flexibler und benutzerfreundlicher. Die Integration von CTI-Referenzen, eBPF-Support im FIM, ARM-Kompatibilität und die neue SCA-Policy machen das Update zu einem erstaunlichen Meilenstein – sowohl für kleine Teams als auch für große Unternehmensumgebungen.