Das Wazuh Ruleset bildet das Herzstück der Ereignisanalyse und -erkennung innerhalb der Wazuh-Plattform. Es besteht aus einer Sammlung von Decodern und Regeln, die zusammenarbeiten, um eingehende Logdaten zu interpretieren und sicherheitsrelevante Ereignisse zu identifizieren.
Decoder sind dafür verantwortlich, Roh-Logdaten in strukturierte Informationen umzuwandeln. Sie nutzen dabei reguläre Ausdrücke (Regex), um spezifische Muster in den Logs zu erkennen und relevante Felder zu extrahieren. Ein Decoder kann beispielsweise so konfiguriert werden, dass er aus einem Logeintrag den Benutzernamen und die IP-Adresse des Anmeldenden extrahiert.
Regeln definieren die Bedingungen, unter denen ein Alarm ausgelöst wird. Sie bauen auf den von den Decodern extrahierten Informationen auf und spezifizieren, welche Muster oder Kombinationen von Ereignissen als sicherheitsrelevant gelten. Beispielsweise kann eine Regel festlegen, dass nach drei fehlgeschlagenen Anmeldeversuchen innerhalb von fünf Minuten ein Alarm generiert wird.
Reguläre Ausdrücke (Regex) sind ein zentrales Werkzeug in Wazuh. Sie ermöglichen es, komplexe Muster in Texten zu definieren und zu erkennen. In Decodern werden Regex verwendet, um spezifische Informationen aus Logs zu extrahieren, während sie in Regeln dazu dienen, bestimmte Ereignismuster zu identifizieren. Wazuh unterstützt dabei verschiedene Regex-Typen, einschließlich Perl-kompatibler regulärer Ausdrücke (PCRE).
Beispiel für einen Decoder:
Angenommen, wir haben folgenden Logeintrag:
Apr 14 19:28:21 gorilla sshd[31274]: Connection closed by 192.168.1.33
Ein entsprechender Decoder könnte wie folgt definiert werden:
<decoder name="sshd_closed">
<program_name>sshd</program_name>
<regex>Connection closed by (\d+\.\d+\.\d+\.\d+)</regex>
<order>srcip</order>
</decoder>
Dieser Decoder extrahiert die Quell-IP-Adresse aus dem Logeintrag und ordnet sie dem Feld srcip zu.
Beispiel für eine Regel:
Basierend auf dem obigen Decoder könnte eine Regel erstellt werden, die einen Alarm auslöst, wenn eine Verbindung von einer bestimmten IP-Adresse geschlossen wird:
<rule id="100001" level="5">
<decoded_as>sshd_closed</decoded_as>
<srcip>192.168.1.33</srcip>
<description>Verbindung von $(srcip) geschlossen.</description>
</rule>
Diese Regel prüft, ob der Decoder sshd_closed verwendet wurde und ob die Quell-IP 192.168.1.33 ist. Wenn beide Bedingungen erfüllt sind, wird ein Alarm mit der angegebenen Beschreibung generiert.
Im Folgenden werden wir weitere Seiten mit praktischen Beispielen aus dem Unternehmensumfeld präsentieren, um die Anwendung und Anpassung des Wazuh Rulesets zu veranschaulichen.