adampielak/wazuh_custom_rules

GitHub: adampielak/wazuh_custom_rules

为 Wazuh 提供经过生产测试的自定义检测规则与日志解码器，覆盖官方默认规则集未处理的基础设施场景。

Stars: 0 | Forks: 0

# wazuh-custom-rules ![Wazuh](https://img.shields.io/badge/wazuh-4.x-005571) ![Type](https://img.shields.io/badge/type-rules%20%26%20decoders-blue) ![License](https://img.shields.io/badge/license-MIT-green) 经过生产测试的自定义 Wazuh rules 和 decoders，适用于常见的基础设施，涵盖默认 ruleset 未处理的场景。 ## 安装 ``` # 规则放入 local_rules.xml cp local_rules.xml /var/ossec/etc/rules/local_rules.xml # 解码器放入 local_decoder.xml cp local_decoder.xml /var/ossec/etc/decoders/local_decoder.xml # 无需重启即可重新加载 wazuh-reload-rules ``` ## 目录 | File | Description | |---|---| | `local_rules.xml` | 自定义检测 rules | | `local_decoder.xml` | 自定义日志 decoders | ## 使用说明 - 部署前请测试 rules：在 Wazuh dashboard 中使用 `wazuh-logtest` - Wazuh 升级后，使用 `wazuh-reload-rules` 检查是否存在 `if_sid` 冲突 - 根据 Wazuh 官方文档，规则 ID 100000–109999 保留供本地使用

标签：PB级数据处理, Wazuh, 子域枚举, 安全运维, 日志解析, 证书伪造