SIEM: Die 15 Alarmstufen der SIEM Lösung Wazuh erklärt.
Die SIEM Lösung Wazuh, klassifiziert seine Regeln in 15 Stufen, welche allesamt eine jeweils eigenständige Bedeutung haben. Diese zu kennen, ist der erste Schritt sein SIEM zu verstehen. Die Übersetzung soll etwas mehr Klarheit verhelfen.*
Die 15 Alarmstufen des SIEM Systems Wazuh
- Stufe 0: Ignorieren
Es wird keine Maßnahme ergriffen. Wird zur Vermeidung von Fehlalarmen verwendet.
Diese Regeln werden vor allen anderen analysiert, sie beinhalten Ereignisse ohne Sicherheitswert und werden nicht im Dashboard für Sicherheitsevents angezeigt.
- Stufe 2: Systembenachrichtigung mit niedriger Priorität
Systembenachrichtigungen oder Statusmeldungen. Sie sind nicht sicherheitsrelevant und erscheinen nicht in der Dashboard-Anzeige für Sicherheitsereignisse. - Stufe 3: Erfolgreiche/autorisierte Ereignisse
Dazu gehören erfolgreiche Login-Versuche, erlaubte Firewall- Events, usw. - Stufe 4: Systemfehler mit niedriger Priorität
Fehler im Zusammenhang mit fehlerhaften Konfigurationen oder nicht verwendeten Geräten/Anwendungen. Diese sind nicht sicherheitsrelevant und werden in der Regel durch Standardinstallationen oder Softwaretests verursacht. - Stufe 5: Benutzergenerierte Fehler
Dazu gehören fehlende Passwörter, verweigerte Aktionen usw. Für sich genommen haben sie keine Sicherheitsrelevanz. - Stufe 6: Angriff von geringer Relevanz
Diese weisen auf einen Wurm oder einen Virus hin, der keine Auswirkungen auf das System hat ( z.B. Code Red für Apache-Server usw.).
Dazu gehören auch häufige IDS-Ereignisse und regelmäßige Fehler. - Stufe 7: „Bad-Word“-Matching
Dazu gehören Wörter wie „schlecht“, „Fehler“ usw. Diese Ereignisse sind in den meisten Fällen nicht klassifiziert und können eine gewisse Sicherheitsrelevanz haben. - Stufe 8: Zum ersten Mal gesehen
Erstmalig gesehene Ereignisse einbeziehen. Das erste Mal, dass ein IDS-Ereignis ausgelöst wird, oder das erste Mal, dass sich ein Benutzer anmeldet. Dazu gehören auch sicherheitsrelevante Aktionen wie die Aktivierung eines Sniffers oder ähnliche Aktivitäten. - Stufe 9: Ein Fehler von einer ungültigen Quelle
Beinhaltet Versuche, sich als unbekannter Benutzer oder von einer ungültigen Quelle anzumelden. Kann sicherheitsrelevant sein (vor allem bei wiederholten Versuchen). Dazu gehören auch Fehler in Bezug auf das Konto „admin“ (root). - Stufe 10: Mehrere benutzergenerierte Fehler
Dazu gehören mehrere falsche Kennwörter, mehrere fehlgeschlagene Anmeldungen usw. Dies kann auf einen Angriff hindeuten oder einfach darauf, dass ein Benutzer seine Anmeldedaten vergessen hat. - Stufe 11: Warnung zur Integritätsprüfung
Dazu gehören Meldungen über die Veränderung von Binärdateien oder das Vorhandensein von Rootkits (durch das Programm „Rootcheck“). Diese können auf einen erfolgreichen Angriff hinweisen. Dazu gehören auch IDS-Ereignisse, die ignoriert werden (hohe Anzahl von Wiederholungen). - Stufe 12: Ereignis von hoher Relevanz
Dazu gehören Fehler- oder Warnmeldungen des Systems, des Kernels usw. Diese können auf einen Angriff gegen eine spezielle Anwendung hinweisen. - Stufe 13: Ungewöhnlicher Fehler (hohe Relevanz)
Es entspricht in den meisten Fällen einem gängigen Angriffsmuster. - Stufe 14: Besonders bedeutsames Sicherheitsereignis
Es wird in den meisten Fällen durch eine Korrelation ausgelöst und weist auf einen Angriff hin. - Stufe 15: Schwerer Angriff
Keine Falschmeldungen möglich. Sofortige Maßnahmen sind erforderlich.
Wie schütze ich mich von LOLBin Angriffen?
- Inventarisieren Sie Ihre Assets und deren Software, Prozesse, Skripte, Bibliotheken usw. im Detail
- Sorgen Sie für eine gute Dokumentation.
- Führen Sie ein IT-Security Assessment von einer neutralen Person durch.
- Härten Sie Ihre IT-Systeme.
- Etablieren Sie ein seriöses Schwachstellen-Management.
- Lassen Sie sich von einem Wazuh Experten beraten und helfen.
- Etablieren Sie ein ISMS.
- Die Regeln wurden ins Deutsche 🇩🇪 übersetzt aus der 🇺🇸 US-Amerikanischen Orignal Wazuh Dokumentation.
