Wazuh自定义规则

最新推荐文章于 2024-06-23 21:00:00 发布
最新推荐文章于 2024-06-23 21:00:00 发布
阅读量2.2k 收藏
点赞数
分类专栏: Wazuh 文章标签: wazuh rule local_rules
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gehongzhou/article/details/103125544
版权

Wazuh会产生很多不必要的报警信息,通过Wazuh-manager端的/var/ossec/etc/rules/local_rules.xml可以增加一些规则来改变默认规则的行为,从而过滤不希望看到的告警。

<!-- Local rules -->
<!-- Modify it at your will. -->
<!-- Copyright (C) 2015-2019, Wazuh Inc. -->
<!-- Example -->
<group name="local,syslog,sshd,">

	<rule id="5715" level="3" overwrite="yes">
		<if_sid>5700</if_sid>
		<match>^Accepted|authenticated.$</match>
		<user>!sourcegraph|phabricator|jenkins</user>
		<description>sshd: authentication success.    local_rules.xml</description>
		<group>authentication_success,pci_dss_10.2.5,gpg13_7.1,gpg13_7.2,gdpr_IV_32.2,</group>
	</rule>
	<rule id="5501" level="3" overwrite="yes">
		<if_sid>5500</if_sid>
		<match>session opened for user </match>
		<user>!sourcegraph|phabricator|jenkins|ambari-qa</user>
		<description>PAM: Login session opened.    local_rules.xml</description>
		<group>authentication_success,pci_dss_10.2.5,gpg13_7.8,gpg13_7.9,gdpr_IV_32.2,</group>
	</rule>
	<rule id="5502" level="3" overwrite="yes">
		<if_sid>5500</if_sid>
		<match>session closed for user </match>
		<user>!sourcegraph|phabricator|jenkins|ambari-qa</user>
		<description>PAM: Login session closed.    local_rules.xml</description>
		<group>pci_dss_10.2.5,gpg13_7.8,gpg13_7.9,gdpr_IV_32.2,</group>
	</rule>

</group>

 

 

IceRainow
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
wazuh中的规则编写以及日志分析
qalx9的博客
08-23 1108
Wazuh是一个免费、开源和企业级的安全监控解决方案,用于威胁检测、完整性监控、事件响应和合规、也就是一套开源的完善的edr。Wazuh是一个安全检测、可视化和安全合规开源项目。它最初是OSSEC HIDS的一个分支,后来与Elastic Stack和OpenSCAP集成在一起,发展成为一个更全面的解决方案。Wazuh的功能有:入侵检测日志数据分析完整性检查漏洞检测配置评估应急响应云、容器安全等。
wazuh-ruleset:Wazuh-规则
02-03
瓦祖规则集 该存储库处于只读模式,不再使用。 现在,所有与Wazuh规则集相关的内容都位于 。
自动化安全运营实操案例- 飞书 X Wazuh X 雷池WAF
最新发布
ZL_1618的博客
06-23 812
Wazuh| 一款国外的SIEM平台,可以理解为安全版的ELK,具有日志统计分析、可视化、主机监控等功能。目前github有9.2kstar,目前分为Saas版和开源版。Wazuh分为Server端以及Agent,Agent可以对服务器进行日志监控、漏洞检测、安全合规基线扫描、进程收集,集成VirusTotal接口后可具备磁盘恶意文件检测能力。本文中使用的是私有部署的开源版4.7.4,主要提供日志监控、下发指令自动处置的能力。—|—
wazuh日志审计--定制规则
Devour_的博客
10-21 2690
日志审计--定制规则 目录布局 规则集文件夹结构如下所示: 在接收到agent传来的日志后,manager会根据/var/ossec/ruleset/decoders里面的各种规则对日志进行处理,提取到了指定字段的值之后再根据/var/ossec/ruleset/rules里面的各种规则进行匹配,告警日志输出到/var/ossec/logs/alerts/alerts.json,logstash再将其解析后传输到elasticsearch上面。 更新规则集 每周运行update_ruleset
Wazuh关联分析规则高级玩法
orright的专栏
10-21 1553
# 前言 上面两篇讲到Wazuh安装部署和数据接入和解码,解决了EDR的基建问题,接下来就来讲解Wazuh规则玩法,之前就提到过 Wazuh是ossec的分支,那为啥非要用分支不用原生呢?其实问题就在于Wazuh对ossec的规则引擎进行改良和扩展,使得规则不限制于 少量且写死的字段,譬如源地址、目的地址等字段,可以进行无限制的字段扩展! 本篇不会去讲规则具体字段的使用,这个主要原因是Wazuh官方的文档写的实在是太详细了。 ## 规则类型 ### 根规则与派生规则(Parent/Child)
Wazuh 实操
weixin_30722589的博客
07-28 954
https://www.jianshu.com/p/40c911a5628e?from=timeline&isappinstalled=0 转载于:https://www.cnblogs.com/diyunpeng/p/11261141.html
探索Wazuh规则集:强大的安全监控解决方案
gitblog_00088的博客
04-26 443
探索Wazuh规则集:强大的安全监控解决方案 项目地址:https://gitcode.com/wazuh/wazuh-ruleset Wazuh是一个开源的安全操作平台,提供实时的安全监控、入侵检测和预防功能。它的规则集是该项目的核心部分,包含数千个预定义的规则,用于识别潜在的安全事件和威胁。这篇文章将深入探讨Wazuh规则集的技术特性,其用途,以及为何你应该考虑在你的环境中使用它。 技术分析 ...
wazuh-webshell检测规则
12-20
本文将深入探讨Wazuh如何实现Webshell的检测规则,以及如何利用这些规则来保护你的网络环境。 首先,我们需要理解Wazuh的工作原理。Wazuh由三个主要组件组成:Agent、Manager和API。Agent安装在需要监控的系统上,...
Wazuh和clamav的联动 -操作记录.docx
09-14
**Wazuh与ClamAV联动详解** Wazuh和ClamAV是两种在网络安全监控领域广泛应用的工具。Wazuh是一款开源的安全监控系统,它能够实时检测操作系统、应用程序、网络设备的日志,提供入侵检测、恶意软件检测、合规性检查...
wazuh-elastic7-template-alerts.json
06-29
wazuh-elastic7-template-alerts.json,wazuh的ES模块导入
wazuh_rules_generator
05-04
Wazuh规则的生成器安装$ pip install -r requirements.txt$ python3 main.py配置将config.json.base复制到config.json并添加您的api凭据用法有关条目的更多信息,请参阅Wazuh文档。
wazuh-documentation:Wazuh-项目文档
02-03
Wazuh文档 Wazuh是一个免费的,开源的,可用于企业的安全监视解决方案,用于威胁检测,完整性监视,事件响应和合规性。 该资源库中提供了有关该项目的在线文档。 Wazuh团队的成员和社区用户为它的发展和日常改进做出了贡献。 在线文件 为这个项目做贡献 如果您想对本文档做出贡献,请阅读我们的文件,以了解有关如何部署开发环境和提交请求的更多信息。 您也可以通过发送电子邮件至wazuh+subscribe@googlegroups.com加入我们的,以提出问题并参与讨论。 使用的软件和库 3.5+ 3.0.4 0.9.2 1.1.13 版权和许可 版权所有:copyright:2020 Wazuh,Inc. Wazuh是免费软件; 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。
hids wazuh 系列2- 规则管理
煜铭2011
09-16 760
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,本文重点描述了wazuh规则自定义规则,实现wazuh检测端口扫描、存在主机扫描的恶意内网行为的目标
BT利器之wazuh
求大佬师傅带
08-17 837
BT利器之wazuh
hids wazuh 系列1-安全运营
煜铭2011
09-17 672
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。
Wazuh安全能力
王教主的博客
09-21 2309
Wazuh概述 wazuh是开源HIDS或XDR系统,能对服务器、虚拟化、容器、云进行威胁检测和响应。在安全领域有较高知名度,wazuh主要提供了一个检测框架,规则并不十分完善,需要使用者持续维护规则。 官网为:https://wazuh.com ,文档地址为:https://documentation.wazuh.com/current/index.html,github地址为:https://github.com/wazuh/wazuh。 截止2021年7月,wazuh开箱共3762条规则。覆盖操作系统
Wazuh从入门到上线
ordersyhack
02-02 1万+
Wazuh从入门到上线
Wazuh--一个完善的开源EDR产品
网络安全研究
09-11 1万+
1. 简介 Wazuh由部署到受监视系统的端点安全代理和管理服务器组成,管理服务器收集和分析代理收集的数据。此外,Wazuh已与Elastic Stack完全集成,提供了搜索引擎和数据可视化工具,使用户可以浏览其安全警报。 Wazuh提供的功能包括日志数据分析,入侵和恶意软件检测,文件完整性监视,配置评估,漏洞检测以及对法规遵从性的支持。 github: https://github.com/wazuh 2. Wazuh平台的组件和体系结构 Wazuh平台主要包括三个主要组件,分别是Wazuh代理,Wazu
wazuh 日志收集原理分析
热门推荐
guoguangwu的专栏
11-05 1万+
wazuh 默认安装到 /var/ossec目录下。 我基于manager端进行分析,和agent一样。默认启动ossec-logcollector进程去搜集日志:比如 snort日志、auditd日志、syslog日志等。 入口函数代码在src/logcollector/main.c中。 int main(int argc, char **argv) { /* 初始化处理: 命...
wazuh中防止SQL注入的规则
05-18
Wazuh可以使用规则来防止SQL注入攻击。以下是一些防止SQL注入的Wazuh规则: 1. 规则 550:检测到SQL注入攻击。该规则检测到SQL注入攻击的常见标志,例如在SQL语句中使用单引号或双引号,或在SQL语句中使用通配符。 2. 规则 551:检测到SQL注入攻击。该规则检测到SQL注入攻击的其他迹象,例如在URL参数或表单字段中使用SQL语句。 3. 规则 552:检测到SQL注入攻击。该规则检测到SQL注入攻击的高级特征,例如在SQL语句中使用注释或绕过过滤器。 这些规则可以通过Wazuh规则管理器进行配置和部署,以保护您的应用程序免受SQL注入攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值