ph0tacular/unifi-wazuh

# unifi-wazuh 自定义的 Wazuh 解码器和规则，用于处理 UniFi Network 设备。解析来自 UniFi OS 和 UniFi Network 应用程序的 CEF（通用事件格式）syslog 事件。 已使用 UniFi OS 4.4.9 + UniFi Network 10.0.162 + Wazuh 4.14 进行测试。 ## 支持的事件 | 规则 ID | 事件 | 级别 | |---------|-------|-------| | 100102 | 基础 UniFi 事件（静默父规则） | 0 | | 100103 | UniFi 控制台事件 | 3 | | 100104 | 内部流量允许（LAN→LAN） | 3 | | 100105 | 外部流量允许（LAN→WAN） | 3 | | 100106 | 内部流量阻止（LAN→LAN） | 7 | | 100107 | 外部流量阻止（LAN→WAN） | 7 | | 100110 | 配置变更 | 8 | | 100111 | IPS 威胁检测 | 10 | | 100112 | WiFi 客户端连接 | 3 | | 100113 | WiFi 客户端断开 | 3 | 规则包含 PCI DSS、NIST 800-53 和 HIPAA 的合规性映射。 ## 安装 将解码器和规则文件复制到您的 Wazuh manager： ``` cp unifi_decoders.xml /var/ossec/etc/decoders/ cp unifi_rules.xml /var/ossec/etc/rules/ ``` 重启 Wazuh manager： ``` systemctl restart wazuh-manager ``` ## 测试 使用 `wazuh-logtest` 验证解码器和规则匹配： ``` /var/ossec/bin/wazuh-logtest ``` 使用 `wazuh-analysisd` 验证解码器和规则： ``` /var/ossec/bin/wazuh-analysisd -t ``` 粘贴一条示例 UniFi syslog 日志以验证正确的解码器和规则是否匹配。 ## 变更日志 2025-12-22： * 为规则添加了合规性映射（PCI DSS、NIST 800-53、HIPAA） * 将规则 ID 从 100002-100007 重新编号为 100102-100113 * 调整了规则级别：基础规则现在为静默（级别 0），允许规则为级别 3，阻止规则为级别 7 * 添加了新规则：配置变更检测（100110）、IPS 威胁检测（100111）、WiFi 客户端连接/断开（100112/100113） * 更新了测试版本：UniFi OS 4.4.9、UniFi Network 10.0.162、Wazuh 4.14 2025-12-12： * 修复了 severity 字段中的小问题 2025-10-25： * 根据防火墙操作分类了 syslog 流量事件 * 按部分排序了键值 * 为威胁检测和阻止事件添加了初步字段

标签：AMSI绕过, CEF, HIPAA, IPS, NIST 800-53, PCI DSS, syslog, UniFi, Wazuh, WiFi安全, 云计算, 人工智能安全, 合规性, 威胁检测, 威胁检测与响应, 子域枚举, 安全事件管理, 系统遥测, 网络设备安全, 规则引擎, 解码器, 配置变更检测, 防火墙规则