358 words
2 minutes
Wazuh 5.0 Release!
2025-10-28
wazuh
wazuh
/
cybersecurity
/
siem

Introdução#

O Wazuh 5.0 vem ai para mudar o paradigma do Open Source, um SIEM de respeito que desbanca diversas empresas de mercado que cobram caro para ter algo básico.

Durante minhas pesquisas, fiquei viciado na plataforma do Wazuh e comecei a monitorar o git para ver novas atualizações. Nesse período verifiquei diversas atualizações sinalizando que o Wazuh 4.14 seria a ultima atualização antes da versão 5 ser lançada.

O Wazuh promete realizar o maior break change, mudando o “Core” do ossec para algo próprio.

A release 5 do Wazuh promete diversos tipos de alterações, entre elas:

  • Nova engine
  • Regras yaml
  • CTI Store
  • STIX Support
  • Suporte sigma rules

Nova engine#

flowchart TD
    alerts --> analysisd[ossec Analysisd] --> process[decoder, alert]--> file[alerts json,txt]

O Wazuh está movendo o analysisd para sua própria engine, melhorando e adicionando um potencial tremendo em o que o Wazuh pode fazer e entregar. A engine do wazuh ja está sendo publicada no repositório oficial

O melhor de tudo é que o Wazuh ainda irá manter a compatibilidade com o analysisd, permitindo que integrações passadas continuem funcionando.

O que irá ser alterado?

  1. Event ingestion and processing.
  2. Generation of output events.
  3. Handling of the ruleset.
  4. Configuration

Dê uma olhada em: Wazuh project

Regras Yaml#

A mudança do analysisd irá permitir que o Wazuh mude suas regras xml para yaml, desbloqueando um potencial imenso do wazuh.

Parece que o Wazuh irá seguir no mesmo padrão do logstash: input, transform, output

Regra yaml de teste tirada do repositório

name: output/file-output-integrations/0


metadata:
  module: Wazuh
  title: file output event
  description: Output integrations events to a file
  compatibility: >
    This decoder has been tested on Wazuh version 5.x
  versions:
    - 5.x
  author:
    name: Wazuh, Inc.
    date: 2022/11/08
  references:
    - ""


outputs:
  - file: "alerts"

STIX Support#

Enquanto o Wazuh criava novas versões, era necessário realizar o update do mitre attack manualmente ou via script. A adição do suporte a STIX abre um leque de novas possibilidades, permitindo utilizar em:

  1. Vulnerabilidades
  2. CTI
  3. Mitre DB

Entre outros usos para o STIX

CTI Store#

O Wazuh pretende modernizar o seu CTI, podendo realizar diversos tipos de integrações. E pelo visto terá uma opção Paga do seu CTI

PAID Subscription CTI

Sigma rules#

Não foi publicado ainda, mas parece já haver a existencia de um script para conversão de regras do Wazuh para regras Sigma. Por enquanto não passa de especulação.

Wazuh 5.0 Release!
https://blog.souzo.me/posts/wazuh-5-release/
Author
souzo
Published at
2025-10-28
License
CC BY-NC-SA 4.0
Hardware barato para Rubber Ducky com pi pico
First blog post
© 2025 souzo. All Rights Reserved. / RSS / Sitemap
Powered by Astro & Fuwari