OSSEC

Siehe auch

OSSEC Alert Levels

Die Regeln sind in mehrere Stufen eingeteilt, von der niedrigsten (00) bis zur höchsten Stufe (15). Einige Stufen werden im Moment nicht verwendet. Andere Stufen können dazwischen oder danach hinzugefügt werden.

Die Regeln werden von der höchsten bis zur niedrigsten Stufe gelesen.

  • 00 - Ignoriert: Es wird keine Aktion durchgeführt. Wird verwendet, um Fehlalarme zu vermeiden. Diese Regeln werden vor allen anderen gescannt. Sie schliessen Ereignisse ohne Sicherheitsrelevanz ein.

  • 01 - reserviert.

  • 02 - Systembenachrichtigung mit niedriger Priorität: Systembenachrichtigungen oder Statusmeldungen. Sie haben keine Sicherheitsrelevanz.

  • 03 - Erfolgreiche/zugelassene Ereignisse: Dazu gehören erfolgreiche Anmeldeversuche, Firewall-Zulassungsereignisse usw.

  • 04 - Systemfehler mit niedriger Priorität: Fehler im Zusammenhang mit fehlerhaften Konfigurationen oder nicht verwendeten Geräten/Anwendungen. Sie haben keine Sicherheitsrelevanz und werden in der Regel durch Standardinstallationen oder Softwaretests verursacht.

  • 05 - Benutzergenerierte Fehler: Dazu gehören fehlende Passwörter, verweigerte Aktionen usw. Für sich genommen haben sie keine Sicherheitsrelevanz.

  • 06 - Angriff von geringer Relevanz: Sie weisen auf einen Wurm oder einen Virus hin, der keine Auswirkungen auf das System hat (wie Code Red für Apache-Server usw.). Dazu gehören auch häufige IDS-Ereignisse und häufige Fehler.

  • 07 - „Bad Word“-Matching: Dazu gehören Wörter wie „bad“, „error“, „failed“ usw. Diese Ereignisse sind in der Regel nicht klassifiziert und könnten eine gewisse Sicherheitsrelevanz haben.

  • 08 - Erstmalig aufgetreten: Beinhaltet erstmalig gesehene Ereignisse. Das erste Mal, dass ein IDS-Ereignis ausgelöst wird oder das erste Mal, dass sich ein Benutzer anmeldet. Kommen direkt nach der Einrichtung von OSSEC besonders häufig vor, verschwinden dann aber nach einer Weile. Dazu gehören auch sicherheitsrelevante Aktionen (wie das Starten eines Sniffers oder ähnliches).

  • 09 - Fehler von ungültiger Quelle: Beinhaltet Versuche, sich als unbekannter Benutzer oder von einer ungültigen Quelle anzumelden. Kann sicherheitsrelevant sein (besonders bei Wiederholung). Dazu gehören auch Fehler in Bezug auf das „admin“-Konto (root).

  • 10 - Mehrere benutzergenerierte Fehler: Dazu gehören mehrere falsche Kennwörter, mehrere fehlgeschlagene Anmeldungen usw. Sie können auf einen Angriff hindeuten (oder auch nur darauf, dass ein Benutzer seine Anmeldedaten vergessen hat).

  • 11 - Integritäts-Warnung: Dazu gehören Meldungen über die Änderung von Binärdateien oder das Vorhandensein von Rootkits (durch rootcheck). Falls man selbst die Systemkonfiguration geändert hat, können „syscheck“-Meldungen ignoriert werden.

  • 12 - Hochwichtiges Ereignis: Dazu gehören Fehler- oder Warnmeldungen des Systems, des Kernels usw. Sie können auf einen Angriff gegen eine bestimmte Anwendung hinweisen.

  • 13 - Ungewöhnlicher Fehler (hohe Wichtigkeit): Entspricht meist einem gängigen Angriffsmuster.

  • 14 - Sicherheitsereignis von hoher Bedeutung: Hinweis auf einen Angriff.

  • 15 - Schwerer Angriff: Das ist kein false-positive. Sofortiges Handeln erforderlich.