SIEM: Die 15 Alarmstufen der SIEM Lösung Wazuh erklärt.

Die 15 Alarmstufen des SIEM Systems Wazuh

• Stufe 0: Ignorieren
  Es wird keine Maßnahme ergriffen. Wird zur Vermeidung von Fehlalarmen verwendet.
  
  Diese Regeln werden vor allen anderen analysiert, sie beinhalten Ereignisse ohne Sicherheitswert und werden nicht im Dashboard für Sicherheitsevents angezeigt.

• Stufe 2: Systembenachrichtigung mit niedriger Priorität
  Systembenachrichtigungen oder Statusmeldungen. Sie sind nicht sicherheitsrelevant und erscheinen nicht in der Dashboard-Anzeige für Sicherheitsereignisse.
  
  
• Stufe 3: Erfolgreiche/autorisierte Ereignisse
  Dazu gehören erfolgreiche Login-Versuche, erlaubte Firewall- Events, usw.
  
  
• Stufe 4: Systemfehler mit niedriger Priorität
  Fehler im Zusammenhang mit fehlerhaften Konfigurationen oder nicht verwendeten Geräten/Anwendungen. Diese sind nicht sicherheitsrelevant und werden in der Regel durch Standardinstallationen oder Softwaretests verursacht.
  
  
• Stufe 5: Benutzergenerierte Fehler
  Dazu gehören fehlende Passwörter, verweigerte Aktionen usw. Für sich genommen haben sie keine Sicherheitsrelevanz.
  
  
• Stufe 6: Angriff von geringer Relevanz
  Diese weisen auf einen Wurm oder einen Virus hin, der keine Auswirkungen auf das System hat ( z.B. Code Red für Apache-Server usw.).
  Dazu gehören auch häufige IDS-Ereignisse und regelmäßige Fehler.
  
  
• Stufe 7: „Bad-Word“-Matching
  Dazu gehören Wörter wie „schlecht“, „Fehler“ usw. Diese Ereignisse sind in den meisten Fällen nicht klassifiziert und können eine gewisse Sicherheitsrelevanz haben.
  
  
• Stufe 8: Zum ersten Mal gesehen
  Erstmalig gesehene Ereignisse einbeziehen. Das erste Mal, dass ein IDS-Ereignis ausgelöst wird, oder das erste Mal, dass sich ein Benutzer anmeldet. Dazu gehören auch sicherheitsrelevante Aktionen wie die Aktivierung eines Sniffers oder ähnliche Aktivitäten.
  
  
• Stufe 9: Ein Fehler von einer ungültigen Quelle
  Beinhaltet Versuche, sich als unbekannter Benutzer oder von einer ungültigen Quelle anzumelden. Kann sicherheitsrelevant sein (vor allem bei wiederholten Versuchen). Dazu gehören auch Fehler in Bezug auf das Konto „admin“ (root).
  
  
• Stufe 10: Mehrere benutzergenerierte Fehler
  Dazu gehören mehrere falsche Kennwörter, mehrere fehlgeschlagene Anmeldungen usw. Dies kann auf einen Angriff hindeuten oder einfach darauf, dass ein Benutzer seine Anmeldedaten vergessen hat.
  
  
• Stufe 11: Warnung zur Integritätsprüfung
  Dazu gehören Meldungen über die Veränderung von Binärdateien oder das Vorhandensein von Rootkits (durch das Programm „Rootcheck“). Diese können auf einen erfolgreichen Angriff hinweisen. Dazu gehören auch IDS-Ereignisse, die ignoriert werden (hohe Anzahl von Wiederholungen).
  
  
• Stufe 12: Ereignis von hoher Relevanz
  Dazu gehören Fehler- oder Warnmeldungen des Systems, des Kernels usw. Diese können auf einen Angriff gegen eine spezielle Anwendung hinweisen.
  
  
• Stufe 13: Ungewöhnlicher Fehler (hohe Relevanz)
  Es entspricht in den meisten Fällen einem gängigen Angriffsmuster.
  
  
• Stufe 14: Besonders bedeutsames Sicherheitsereignis
  Es wird in den meisten Fällen durch eine Korrelation ausgelöst und weist auf einen Angriff hin.
  
  
• Stufe 15: Schwerer Angriff
  Keine Falschmeldungen möglich. Sofortige Maßnahmen sind erforderlich.
  

• Die Regeln wurden ins Deutsche 🇩🇪 übersetzt aus der 🇺🇸 US-Amerikanischen Orignal Wazuh Dokumentation.