Wazuh Regeln überschreiben

Wazuh ist eine freie SIEM-Lösung, die es erlaubt Logs zentral zu sichern, auszuwerten und selbstständig Aktionen auszuführen
oder den Administrator zu alarmieren.

Hin und wieder kommt es vor, dass Regeln zuschlagen, obwohl kein wirkliches Problem besteht, ein sogenannter false-positive.

Ein klassisches Beispiel sind SU Meldungen von Logrotate in Debian. Ein SIEM würde hier sofort Alarm schlagen:

   Received From: (host62) any->/var/log/auth.log
Rule: 40101 fired (level 12) -> "System user successfully logged to the sys-tem."
User: nobody
Portion of the log(s):
Apr 30 06:25:01 host62 su[29446]: + ??? root:nobody

Da ein Alarm dieser Art erwünscht ist, allerdings nicht von logrotate, können wir die Zeiten für diese Job einfach ausklammern.
Dazu kopieren wir die betroffene Regel in die local rules, setzen „overwrite=yes“ und geben eine timerange an:

   <group name="syslog,attacks,">
<rule id="40101" level="9" overwrite="yes">
<if_group>authentication_success</if_group>
<user>$SYS_USERS</user>

<description>System user successfully logged to the system.</description
<group>invalid_login,pci_dss_10.2.4,pci_dss_10.2.5,gpg13_7.8,gdpr_IV_35.7.d,gdpr_IV_32.2,
hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,</group>
</rule>
</group>

Jetzt noch Wazuh neu laden und die Regel wird weiter geprüft, ein Fehlalarm aber vermieden.

Tags

SIEM Wazuh OSSEC

Weiterführende Informationen

Mehr Informationen finden Sie unter www.max-it.de.

Kontakt

Wenn Sie Fragen oder Anmerkungen zu diesem Artikel haben,
melden Sie sich bitte bei uns unter vertrieb@max-it.de.