在 Wazuh 中,powershell 的 rule.level 不同于 alerts.json

In Wazuh, the rule.level for powershell is different from alerts.json


我在 /var/ossec/etc/rules/local_rules.xml
中有一个 powershell 规则 规则是:
 <group name="sysmon,">
   <rule id="255000" level="12">
   <if_group>sysmon_event1</if_group>
   <field name="sysmon.image">\powershell.exe||\.ps1||\.ps2</field>
   <description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
   <group>sysmon_event1,powershell_execution,</group>
   </rule>
</group>

如你所见,rule.level是12。但是当我看alerts.json时,我看到了这个结果。

{"timestamp":"2022-02-02T00:29:24.590-0800","rule":{"level":8,"description":"Sysmon - Event 1: Process creation Windows PowerShell","id":"61603","firedtimes":5,"mail":false,"groups":["windows","sysmon",>

rule.level 是 8。可能是什么问题,我该如何解决?

正如您在 alerts.json 摘录中看到的那样,问题是事件 与您的自定义规则 不匹配,而是与 ID [=11] 的规则匹配=],具有不同的严重级别。这就是严重级别与您期望的不匹配的原因。

我们可以得出结论,您的自定义规则没有按预期工作。请 post 您尝试为其创建规则的日志,以便我们更好地帮助您编写它。