wazuh自定义规则-检测内网扫描行为

0x00 介绍

1.背景介绍

传统的入侵检测，主要分为网络入侵检测系统和主机入侵检测系统，分别作用于网络层面和主机（服务器、办公电脑等终端）。

随着技术发展，出现了结合传统入侵检测系统和新技术（如数据分析、威胁情报、自动化操作、主动响应等）的新产品，这类新产品可能的名称是XDR、EDR、EPP等。

2.用途介绍

Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统，用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全等安全解决方案，此外可以与许多外部服务和工具集成。如VirusTotal，YARA，Amazon Macie，Slack和FortiGate。

0x01 部署架构

1.系统架构

Wazuh 平台提供 XDR 和 SIEM 功能来保护您的云、容器和服务器工作负载。其中包括日志数据分析、入侵和恶意软件检测、文件完整性监控、配置评估、漏洞检测以及对法规遵从性的支持。

 2.架构组件

更多详情请参考：Components - Getting started with Wazuh · Wazuh documentation

3.部署架构

0x02 安装部署

0x03 系统管理

5.告警规则管理

1.修改默认规则

有时候，根据实践场景，我们需要屏蔽某类告警或者提高默认规则的告警级别，如果我们想将 SSH 规则的级别值5710从 5 更改为 10，我们将执行以下操作：

打开规则文件/var/ossec/ruleset/rules/0095-sshd_rules.xml。

从规则文件中查找并复制以下代码：

  5700

  illegal user|invalid user

  sshd: Attempt to login using a non-existent user

  

    T1110

  

invalid_login,authentication_failed,pci_dss_10.2.4,pci_dss_10.2.5,pci_dss_10.6.1,gpg13_7