在 Wazuh 中,powershell 的 rule.level 不同于 alerts.json
In Wazuh, the rule.level for powershell is different from alerts.json
我在 /var/ossec/etc/rules/local_rules.xml
中有一个 powershell 规则
规则是:
<group name="sysmon,">
<rule id="255000" level="12">
<if_group>sysmon_event1</if_group>
<field name="sysmon.image">\powershell.exe||\.ps1||\.ps2</field>
<description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
<group>sysmon_event1,powershell_execution,</group>
</rule>
</group>
如你所见,rule.level是12。但是当我看alerts.json时,我看到了这个结果。
{"timestamp":"2022-02-02T00:29:24.590-0800","rule":{"level":8,"description":"Sysmon - Event 1: Process creation Windows PowerShell","id":"61603","firedtimes":5,"mail":false,"groups":["windows","sysmon",>
rule.level 是 8。可能是什么问题,我该如何解决?
正如您在 alerts.json
摘录中看到的那样,问题是事件 与您的自定义规则 不匹配,而是与 ID [=11] 的规则匹配=],具有不同的严重级别。这就是严重级别与您期望的不匹配的原因。
我们可以得出结论,您的自定义规则没有按预期工作。请 post 您尝试为其创建规则的日志,以便我们更好地帮助您编写它。
我在 /var/ossec/etc/rules/local_rules.xml
中有一个 powershell 规则 规则是:
<group name="sysmon,">
<rule id="255000" level="12">
<if_group>sysmon_event1</if_group>
<field name="sysmon.image">\powershell.exe||\.ps1||\.ps2</field>
<description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
<group>sysmon_event1,powershell_execution,</group>
</rule>
</group>
如你所见,rule.level是12。但是当我看alerts.json时,我看到了这个结果。
{"timestamp":"2022-02-02T00:29:24.590-0800","rule":{"level":8,"description":"Sysmon - Event 1: Process creation Windows PowerShell","id":"61603","firedtimes":5,"mail":false,"groups":["windows","sysmon",>
rule.level 是 8。可能是什么问题,我该如何解决?
正如您在 alerts.json
摘录中看到的那样,问题是事件 与您的自定义规则 不匹配,而是与 ID [=11] 的规则匹配=],具有不同的严重级别。这就是严重级别与您期望的不匹配的原因。
我们可以得出结论,您的自定义规则没有按预期工作。请 post 您尝试为其创建规则的日志,以便我们更好地帮助您编写它。