In komplexen IT-Umgebungen ist es keine Seltenheit, dass eine Sicherheitsregel immer wieder bei einem bestimmten Agent anschlägt – obwohl es sich dabei eindeutig um ein False Positive handelt. In solchen Fällen möchte man die Regel nicht global deaktivieren, sondern nur für den betroffenen Host ausklammern.
Genau das lässt sich mit Wazuh elegant umsetzen.
Nehmen wir eine Standardregel aus Wazuh, die Benutzer-Abmeldungen unter Windows erkennt:
<group name="windows,windows_security,">
<rule id="60137" level="3">
<if_sid>60103</if_sid>
<field name="win.system.eventID">^538$|^551$|^4634$|^4647$</field>
<description>Windows User Logoff</description>
<options>no_full_log</options>
<group>pci_dss_10.2.5,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>
</group>Diese Regel löst bei bestimmten EventIDs aus und meldet jede Windows-Abmeldung.
Angenommen, auf einem bestimmten Domain Controller (MAX-DC03.maxintranet.de) erzeugt genau diese Regel ständig False Positives. Eine komplette Deaktivierung der Regel würde aber auch alle anderen Systeme betreffen – und das wäre sicherheitstechnisch keine gute Idee.
Statt die Regel global zu deaktivieren, kann sie überschrieben werden.
Dazu wird der Hostname des Agents gezielt ausgefiltert. Das funktioniert über den Parameter negate="yes" im Feld win.system.computer.
Ein mögliches Override sieht so aus:
<group name="windows,windows_security,">
<rule id="60137" level="3" overwrite="yes">
<if_sid>60103</if_sid>
<field name="win.system.eventID">^538$|^551$|^4634$|^4647$</field>
<field name="win.system.computer" negate="yes">MAX-DC03.maxintranet.de</field>
<description>Windows User Logoff</description>
<options>no_full_log</options>
<group>pci_dss_10.2.5,gdpr_IV_32.2,hipaa_164.312.b,nist_800_53_AU.14,nist_800_53_AC.7,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>
</group>Hier wird die Regel nur für den genannten Host ignoriert. Für alle anderen Agents bleibt sie unverändert aktiv.
Vorteile des Ansatzes:
- Granularität: Nur der betroffene Host wird ausgeschlossen.
- Compliance-Sicherheit: Die Regel bleibt für alle anderen Systeme aktiv, sodass Audits (z. B. PCI DSS oder GDPR) nicht gefährdet werden.
- Nachvollziehbarkeit: Die Anpassung ist klar dokumentiert und lässt sich leicht nachvollziehen.
- Flexibilität: Falls ein weiterer Host betroffen ist, kann er einfach ergänzt werden.
False Positives sind in SIEM-Lösungen unvermeidbar – entscheidend ist, wie man damit umgeht.
Mit der Möglichkeit, Wazuh-Regeln gezielt für bestimmte Agents zu deaktivieren, lassen sich Störmeldungen effektiv eindämmen, ohne die gesamte Sicherheitsüberwachung zu schwächen.