Wazuh Regeln überschreiben: Unterschied zwischen den Versionen

Zeile 9: Zeile 9:
 
     Portion of the log(s):<br />
 
     Portion of the log(s):<br />
 
     Apr 30 06:25:01 host62 su[29446]: + ??? root:nobody
 
     Apr 30 06:25:01 host62 su[29446]: + ??? root:nobody
Da ein Alarm dieser Art erwünscht ist, allerdings nicht von logrotate, können wir die Zeiten für diese Job einfach ausklammern.<br />
+
Da ein Alarm dieser Art erwünscht ist, allerdings nicht von logrotate, können wir die Zeiten für diese Job einfach ausklammern. Dazu kopieren wir die betroffene Regel in die local rules, setzen „overwrite=yes“ und geben eine timerange an:<br />
Dazu kopieren wir die betroffene Regel in die local rules, setzen „overwrite=yes“ und geben eine timerange an:<br />
 
 
     <group name="syslog,attacks,"><br />
 
     <group name="syslog,attacks,"><br />
 
       <rule id="40101" level="9" overwrite="yes"><br />
 
       <rule id="40101" level="9" overwrite="yes"><br />

Version vom 13. Mai 2020, 09:57 Uhr

Wazuh ist eine freie SIEM-Lösung, die es erlaubt Logs zentral zu sichern, auszuwerten und selbstständig Aktionen auszuführen oder den Administrator zu alarmieren.

Hin und wieder kommt es vor, dass Regeln zuschlagen, obwohl kein wirkliches Problem besteht, ein sogenannter false-positive.

Ein klassisches Beispiel sind SU Meldungen von Logrotate in Debian. Ein SIEM würde hier sofort Alarm schlagen:

   Received From: (host62) any->/var/log/auth.log
Rule: 40101 fired (level 12) -> "System user successfully logged to the sys-tem."
User: nobody
Portion of the log(s):
Apr 30 06:25:01 host62 su[29446]: + ??? root:nobody

Da ein Alarm dieser Art erwünscht ist, allerdings nicht von logrotate, können wir die Zeiten für diese Job einfach ausklammern. Dazu kopieren wir die betroffene Regel in die local rules, setzen „overwrite=yes“ und geben eine timerange an:

   <group name="syslog,attacks,">
<rule id="40101" level="9" overwrite="yes">
<if_group>authentication_success</if_group>
<user>$SYS_USERS</user>

<description>System user successfully logged to the system.</description
<group>invalid_login,pci_dss_10.2.4,pci_dss_10.2.5,gpg13_7.8,gdpr_IV_35.7.d,gdpr_IV_32.2,
hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,</group>
</rule>
</group>

Jetzt noch Wazuh neu laden und die Regel wird weiter geprüft, ein Fehlalarm aber vermieden.

Tags

SIEM Wazuh OSSEC

Weiterführende Informationen

Mehr Informationen finden Sie unter www.max-it.de.

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter vertrieb@max-it.de.