Step 4: Wazuh Rule Suppression
Referenz: https://documentation.wazuh.com/current/user-manual/ruleset/ruleset-xml-syntax/rules.html
Konfiguration
Um Alarmrauschen zu reduzieren und die Relevanz von Sicherheitsmeldungen in Wazuh zu erhöhen, ist die Konfiguration von Suppress Rules ein wichtiger Bestandteil. Suppress Rules ermöglichen es dir, bekannte oder erwünschte Ereignisse gezielt zu unterdrücken, ohne die eigentliche Erkennung oder Protokollsammlung zu deaktivieren. In diesem Abschnitt wird beschrieben, wie du die erforderlichen Komponenten zur Konfiguration von Suppress Rules in Wazuh einrichtest.
Wazuh-Manager
Die Unterdrückung von Regeln erfolgt zentral auf dem Wazuh-Manager und basiert auf vorhandenen Erkennungsregeln. Ziel ist es, wiederkehrende False Positives oder bekannte Systemaktivitäten von der Alarmierung auszuschließen.
- Identifiziere zunächst die Regel-ID oder die Regelgruppe, die regelmäßig unerwünschte Alarme auslöst. Diese Informationen findest du in den Wazuh-Alerts oder im Dashboard.
- Erstelle anschließend eine benutzerdefinierte Suppress Rule in der entsprechenden Regeldatei, zum Beispiel unter
/var/ossec/etc/rules/999-rule-suppression.xml.(Diese musst du selbst anlegen)
Dort definierst du zentral, welche bestehende Regel unterdrückt werden soll und unter welchen Bedingungen (z. B. bestimmter Host, Benutzer oder Prozess). - Nachdem du die Suppress Rule hinzugefügt oder angepasst hast, lädst du die Regeln neu, damit die Änderungen wirksam werden.
systemctl restart wazuh-manager
Die konkrete Beispielkonfiguration kannst du an deine Umgebung anpassen und bei Bedarf versionieren, um Änderungen nachvollziehbar zu halten. Ein Beispiel der Konfiguration kannst du an dieser Stelle selbst ergänzen.
Beispielerläuterung: Wir möchten den Alert 92910 der mit einem Level von 12 alarmiert runterstufen, jedoch soll er dennoch protokolliert werden. Das heisst, wir setzen einfach den Level der künftigen Alerts mit exakt diesem SourceImage + TargetImage Matching auf 3. (Level 0 = wird gar nicht mehr geloggt)
Ebenfalls wichtig zu wissen ist, dass Wazuh das Regelset in einer bestimmten Reihenfolge abarbeitet. Somit ist es wichtig dass die Unterdrückungsregeln ganz am Schluss kommen. Darum 999 voraus.
Beispiel aus unserem 999-rule-suppression.xml:
<group name="false_positives,exclude,custom">
<rule id="100002" level="3">
<if_sid>92910>/if_sid>
<field name="win.eventdata.sourceImage" type="pcre2">(?i)SophosFileScanner\.exe</field>
<field name="win.eventdata.targetImage" type="pcre2">(?i)Explorer\.exe</field>
<description>FP: Legitimer Sophos Filescann</description>
</rule>
<rule ... > etc. </rule>
</group>
Fragen, Austausch oder Anregungen? 👉 info@blackbox51.ch