Você pode fazer o que quiser. Você pode adicionar configurações como esta (conforme detalhado aqui ) :
SecRuleUpdateTargetById 981243 !REQUEST_COOKIES:'/^wm.*/'
Na verdade, isso já é parte integrante de alguns cookies comuns que essa regra sinaliza incorretamente como falsos positivos (__utm usado pelo Google Analytics e _pk_ref usado por um software analítico semelhante) como você pode ver ao olhar para a definição de regra da regra original sinalizada:
SecRule REQUEST_COOKIES|!REQUEST_COOKIES:/__utm/|!REQUEST_COOKIES:/_pk_ref/|REQUEST_COOKIES_NAMES|ARGS_NAMES|ARGS|XML:/* "(?i:(?:[\"'
´’‘]\s*?\*.+(?:x?or|div|like|between|and|id)\W*?[\"'´’‘]\d)|(?:\^[\"'´’‘])|(?:^[\w\s\"'´’‘-]+(?<=and\s)(?<=or|xor|div|like|between|and\s)(?<=xor\s)(?<=nand\s)(?<=not\s)(?<=\|\|)(?<=\&\&)\w+()|(?:[\"'´’‘][\s\d]*?[^\w\s]+\W*?\d\W*?.*?[\"'´’‘\d])|(?:[\"'´’‘]\s*?[^\w\s?]+\s*?[^\w\s]+\s*?[\"'´’‘])|(?:[\"'´’‘]\s*?[^\w\s]+\s*?[\W\d].*?(?:#|--))|(?:[\"'´’‘].?*\s?\d)|(?:[\"'´’‘]\s*?(x?or|div|like|between|and)\s[^\d]+[\w-]+.*?\d)|(?:[()\*<>%+-][\w-]+[^\w\s]+[\"'´’‘][^,]))" "phase:2,capture,t:none,t:urlDecodeUni,block,msg:'Detects classic SQL injection probings 2/2',id:'981243',tag:'OWASP_CRS/WEB_ATTACK/SQL_INJECTION',logdata:'Matched Data: %{TX.0} found within %{MATCHED_VAR_NAME}: %{MATCHED_VAR}',severity:'2',setvar:'tx.msg=%{rule.id}-%{rule.msg}',setvar:tx.sql_injection_score=+1,setvar:tx.anomaly_score=+%{tx.critical_anomaly_score},setvar:'tx.%{tx.msg}-OWASP_CRS/WEB_ATTACK/SQLI-%{matched_var_name}=%{tx.0}'"
Agora, se você puder descobrir qual é esse regexpr, você é um homem melhor do que eu, mas é possível ver a configuração para a qual os cookies se aplicam no começo.
Note que é melhor adicionar a configuração acima para modificar dinamicamente a regra, em vez de editar a própria regra, já que atualizar suas regras sobrescreverá quaisquer edições, enquanto que as substituições poderão ser mantidas (supondo que elas estejam em um arquivo de substituição separado que ainda esteja presente após atualização).