Hier die Erklärung für alle Rule Level von Wazuh:
0
Ignoriert
Keine Maßnahmen ergriffen. Verwendet, um Fehlalarme zu vermeiden.
Diese Regeln werden vor allen anderen gescannt, umfassen Ereignisse ohne Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard.
2
Systembenachrichtigung mit niedriger Priorität
Systembenachrichtigungen oder Statusmeldungen. Diese haben keine Sicherheitsrelevanz und erscheinen nicht im Sicherheitsereignis-Dashboard.
3
Erfolgreiche/Autorisierte Ereignisse
Diese umfassen erfolgreiche Anmeldeversuche, Firewall-Erlaubnisereignisse usw.
4
Systemfehler mit niedriger Priorität
Fehler im Zusammenhang mit schlechten Konfigurationen oder ungenutzten Geräten/Anwendungen.
Diese haben keine Sicherheitsrelevanz und entstehen normalerweise durch Standardinstallationen oder Softwaretests.
5
Vom Benutzer verursachter Fehler
Dazu gehören vergessene Passwörter, verweigerte Aktionen usw. Diese haben allein keine Sicherheitsrelevanz.
6
Angriff mit niedriger Relevanz
Dazu gehören Würmer oder Viren, die keine Auswirkungen auf das System haben (z. B. Code Red für Apache-Server usw.).
Auch häufige IDS-Ereignisse und Fehler sind enthalten.
7
„Schlechtes Wort“-Übereinstimmung
Dazu gehören Wörter wie „schlecht“, „Fehler“ usw.
Diese Ereignisse sind meist unklassifiziert und können eine gewisse Sicherheitsrelevanz haben.
8
Erstes Auftreten
Umfasst Ereignisse, die zum ersten Mal auftreten. Erstmals ausgelöstes IDS-Ereignis oder erste Benutzeranmeldung.
Einschließlich sicherheitsrelevanter Aktionen wie der Aktivierung eines Sniffers oder ähnlicher Aktivitäten.
9
Fehler von ungültiger Quelle
Umfasst Versuche, sich als unbekannter Benutzer oder von einer ungültigen Quelle anzumelden.
Kann Sicherheitsrelevanz haben (insbesondere bei Wiederholung).
Ebenfalls enthalten sind Fehler im Zusammenhang mit dem „Admin“- (Root-)Konto.
10
Mehrere vom Benutzer verursachte Fehler
Dazu gehören mehrere fehlerhafte Passwörter, mehrfach fehlgeschlagene Anmeldungen usw.
Diese können auf einen Angriff hinweisen oder einfach darauf, dass ein Benutzer seine Anmeldedaten vergessen hat.
11
Integritätsprüfungswarnung
Dazu gehören Meldungen über die Änderung von Binärdateien oder das Vorhandensein von Rootkits (durch Rootcheck).
Diese können auf einen erfolgreichen Angriff hinweisen. Ebenfalls enthalten sind IDS-Ereignisse, die ignoriert werden (hohe Wiederholungsrate).
12
Ereignis mit hoher Wichtigkeit
Dazu gehören Fehler- oder Warnmeldungen vom System, Kernel usw.
Diese können auf einen Angriff auf eine spezifische Anwendung hinweisen.
13
Ungewöhnlicher Fehler (hohe Wichtigkeit)
Passt meistens zu einem gängigen Angriffsmuster.
14
Sicherheitsereignis mit hoher Wichtigkeit
Wird meistens durch Korrelation ausgelöst und weist auf einen Angriff hin.
15
Schwerwiegender Angriff
Keine Möglichkeit von Fehlalarmen. Sofortige Aufmerksamkeit erforderlich.
Übersetzt von https://documentation.wazuh.com/current/user-manual/ruleset/rules/rules-classification.html