Wazuh Regeln überschreiben: Unterschied zwischen den Versionen
Deko (Diskussion | Beiträge) |
Deko (Diskussion | Beiträge) |
||
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
Zeile 20: | Zeile 20: | ||
</rule><br /> | </rule><br /> | ||
</group> | </group> | ||
− | Jetzt noch Wazuh '''neu laden''' und die Regel wird weiter geprüft, ein Fehlalarm aber vermieden. | + | Jetzt noch Wazuh '''neu laden''' und die Regel wird weiter geprüft, ein Fehlalarm aber vermieden. |
==='''Tags'''=== | ==='''Tags'''=== | ||
− | SIEM Wazuh OSSEC | + | SIEM Wazuh OSSEC |
==='''Weiterführende Informationen'''=== | ==='''Weiterführende Informationen'''=== |
Aktuelle Version vom 13. Mai 2020, 09:58 Uhr
Wazuh ist eine freie SIEM-Lösung, die es erlaubt Logs zentral zu sichern, auszuwerten und selbstständig Aktionen auszuführen oder den Administrator zu alarmieren.
Hin und wieder kommt es vor, dass Regeln zuschlagen, obwohl kein wirkliches Problem besteht, ein sogenannter false-positive.
Ein klassisches Beispiel sind SU Meldungen von Logrotate in Debian. Ein SIEM würde hier sofort Alarm schlagen:
Received From: (host62) any->/var/log/auth.log
Rule: 40101 fired (level 12) -> "System user successfully logged to the sys-tem."
User: nobody
Portion of the log(s):
Apr 30 06:25:01 host62 su[29446]: + ??? root:nobody
Da ein Alarm dieser Art erwünscht ist, allerdings nicht von logrotate, können wir die Zeiten für diese Job einfach ausklammern. Dazu kopieren wir die betroffene Regel in die local rules, setzen „overwrite=yes“ und geben eine timerange an:
<group name="syslog,attacks,">
<rule id="40101" level="9" overwrite="yes">
<if_group>authentication_success</if_group>
<user>$SYS_USERS</user>
<description>System user successfully logged to the system.</description
<group>invalid_login,pci_dss_10.2.4,pci_dss_10.2.5,gpg13_7.8,gdpr_IV_35.7.d,gdpr_IV_32.2,
hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,</group>
</rule>
</group>
Jetzt noch Wazuh neu laden und die Regel wird weiter geprüft, ein Fehlalarm aber vermieden.
Tags
SIEM Wazuh OSSEC
Weiterführende Informationen
Mehr Informationen finden Sie unter www.max-it.de.
Kontakt
Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter vertrieb@max-it.de.