UK-Cyber-Defence/wazuh-rules

# Wazuh 规则 — UK Cyber Defence 由 **UK Cyber Defence** 维护的社区驱动型自定义 [Wazuh](https://wazuh.com/) SIEM 检测规则集合。 ## 概述 本仓库提供生产就绪的 Wazuh 规则文件，通过聚焦的检测能力扩展默认的 Wazuh 规则集。每个规则文件都针对特定的威胁领域，并映射到 [MITRE ATT&CK](https://attack.mitre.org/) 框架。 ### Forcepoint 规则 **文件：** `rules/100725-Forcepoint.xml` · **解码器：** `decoders/Forcepoint.xml` · **规则 ID：** 107250–107254 · **5 条规则** 检测来自 Forcepoint 设备的安全相关事件，包括流量拦截、身份验证失败、系统错误和密码更改。包含一个自定义解码器用于解析 Forcepoint 流量、系统和审计日志格式。 #### 检测类别 | 类别 | 示例 | |---|---| | 流量 — 拦截的连接 | 被 Forcepoint 策略拦截的连接尝试 | | 审计 — 失败的操作 | 失败的管理员或用户操作 | | 系统 — 错误 | Forcepoint 组件报告的错误状况 | | 审计 — 密码更改 | 密码更改事件 | #### 严重性级别 | 级别 | 含义 | 数量 | |-------|---------|-------| | 0 | 基础规则（内部分组） | 1 | | 13 | 极高严重性事件 | 2 | | 14 | 关键事件 | 1 | | 15 | 最高严重性事件 | 1 | ### Google Workspace 审计日志规则 **文件：** `rules/108500-google_workspace.xml` · **规则 ID：** 108500–108599 · **10 条规则** 为通过 Wazuh gcloud 模块或自定义集成摄入的 Google Workspace 审计事件提供基础检测。 #### 覆盖的应用程序 | 应用程序 | 描述 | 规则 ID | |---|---|---| | *(所有)* | 基础 Google Workspace 审计事件 | 108500 | | `drive` | Google Drive 文件操作 | 108501 | | `admin` | 管理控制台活动 | 108510 | | `login` | 身份验证事件 | 108520 | | `token` | OAuth token 活动 | 108530 | | `groups` | Google Groups 管理 | 108540 | | `rules` | DLP 和告警规则 | 108550 | | `user_accounts` | 用户账户管理 | 108560 | | `mobile` | 移动设备管理 | 108570 | | `saml` | SAML SSO 事件 | 108580 | #### MITRE ATT&CK 覆盖范围 `T1078` `T1136` `T1528` ### Microsoft Purview 规则 **文件：** `rules/108600-Microsoft_Purview.xml` · **解码器：** `decoders/Microsoft_Purview.xml` · **规则 ID：** 108600–108699 · **29 条规则** 检测通过 Wazuh Office 365 模块或 syslog 转发摄入的来自 Microsoft Purview 的安全相关事件。包含一个自定义解码器用于解析 syslog 转发的 Purview 事件。 #### 覆盖领域 | 领域 | 描述 | 规则 ID | |---|---|---| | *(所有)* | 基础 Purview 事件 (JSON / syslog) | 108600–108601 | | DLP | 数据丢失防护策略匹配和更改 | 108610–108614 | | 敏感度标签 | 信息保护标签事件 | 108620–108623 | | 内部风险管理 | 内部风险告警和调查 | 108630–108633 | | eDiscovery | 内容搜索、导出、保留和案例事件 | 108640–108644 | | 通信合规性 | 合规策略告警和更改 | 108650–108651 | | 记录管理 | 保留标签和策略事件 | 108660–108662 | | 审计与配置 | 审计策略更改和管理员角色事件 | 108670–108673 | #### MITRE ATT&CK 覆盖范围 `T1005` `T1048` `T1078` `T1114.003` `T1562.001` ### Proofpoint 规则 **文件：** `rules/108700-Proofpoint.xml` · **解码器：** `decoders/Proofpoint.xml` · **规则 ID：** 108700–108792 · **25 条规则** 检测通过直接 API 集成（例如 Proofpoint TAP API）或 syslog 转发摄入的来自 Proofpoint 电子邮件安全产品的安全相关事件。包含一个自定义解码器用于解析 syslog 转发的 Proofpoint 事件。 #### 覆盖领域 | 领域 | 描述 | 规则 ID | |---|---|---| | *(所有)* | 基础 Proofpoint 事件 (JSON / syslog) | 108700–108701 | | 消息 | 已拦截、已投递和已隔离的威胁邮件 | 108710–108712 | | 钓鱼 | 钓鱼尝试和已投递的钓鱼邮件 | 108720–108721 | | 恶意软件 | 恶意软件附件和 URL | 108730–108731 | | 冒充者 / BEC | 商务电子邮件入侵 (BEC) 和冒充者检测 | 108740–108741 | | 点击保护 | 对恶意 URL 的拦截和允许点击 | 108750–108751 | | 垃圾邮件 | 垃圾邮件检测和已投递的垃圾邮件 | 108760–108761 | | DLP | 电子邮件数据丢失防护策略违规 | 108770–108771 | | 隔离 | 隔离操作和释放 | 108780–108781 | | 管理 / 配置 | 策略更改和允许列表修改 | 108790–108792 | #### MITRE ATT&CK 覆盖范围 `T1048` `T1204.001` `T1204.002` `T1534` `T1562.001` `T1566` `T1566.001` `T1566.002` ### 数据丢失防护 (DLP) 规则 **文件：** `rules/150000-data_loss_prevention.xml` · **规则 ID：** 150000–150163 · **114 条规则** 检测 Windows、Linux 和 macOS 端点以及云平台中的数据渗出、未授权传输和敏感数据暴露。 #### 检测类别 | 类别 | 示例 | |---|---| | 大规模 / 批量文件传输 | 来自敏感目录的 `robocopy`、`xcopy` | | 云存储渗出 | `rclone`、MEGA 工具、AWS S3 / Azure / GCP CLI 上传 | | 基于电子邮件的渗出 | 带有附件的命令行邮件 | | USB / 可移动介质 | 文件复制到可移动驱动器，新 USB 设备注册 | | 基于网络的渗出 | HTTP 上传、FTP/SCP/SFTP 传输、netcat/socat 隧道 | | 基于 DNS 的渗出 | DNS 隧道工具（`iodine`、`dnscat2`） | | 敏感数据模式暴露 | 搜索凭据、PII 和财务数据 | | 数据库渗出 | 数据库导出工具（`mysqldump`、`pg_dump`、`bcp`） | | 隐写术 / 隐蔽数据隐藏 | 隐写术工具、备用数据流 | | 打印 / 截图数据窃取 | 屏幕捕获工具 | | 剪贴板数据窃取 | 剪贴板访问和监控 | | 加密 / 编码渗出 | 传输前的数据编码或加密 | | Office 365 / 云 DLP | 敏感文件下载、外部共享、邮件流规则更改 | | AWS DLP | S3 存储桶访问和策略修改 | | 基于频率的告警 | 重复或高容量的渗出活动 | #### 支持的数据源 - **Windows Sysmon** — 事件 1, 3, 10, 11, 12, 13, 15, 22, 23 - **Linux Sysmon** — 事件 1, 3, 11, 23 - **macOS Sysmon** — 事件 1, 3, 11, 23 - **Office 365** 审计日志 - **AWS CloudWatch** 日志 #### MITRE ATT&CK 覆盖范围 规则映射到以下技术： `T1003` `T1003.001` `T1003.008` `T1005` `T1027.003` `T1039` `T1048` `T1048.001` `T1048.003` `T1052.001` `T1059` `T1059.002` `T1070.004` `T1071.004` `T1074.001` `T1083` `T1112` `T1113` `T1114.003` `T1115` `T1119` `T1132.001` `T1485` `T1530` `T1552.001` `T1555.001` `T1560.001` `T1562.001` `T1564.004` `T1567` `T1567.002` ## 安装 1. 将规则和解码器文件复制到你的 Wazuh manager： sudo cp rules/*.xml /var/ossec/etc/rules/ sudo cp decoders/*.xml /var/ossec/etc/decoders/ 2. 验证规则是否有效： sudo /var/ossec/bin/wazuh-analysisd -t 3. 重启 Wazuh manager 以加载新规则： sudo systemctl restart wazuh-manager ## 前置条件 - [Wazuh](https://wazuh.com/) 4.x 或更高版本 - 在受监控的端点（Windows、Linux 或 macOS）上部署 [Sysmon](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)（针对基于 Sysmon 的规则） - 在 Wazuh 中配置 Office 365 和/或 AWS 集成（针对相应的云规则） - 通过 Wazuh gcloud 模块或自定义集成进行 Google Workspace 审计日志摄入（针对 Google Workspace 规则） - 通过 Wazuh Office 365 模块或 syslog 转发进行 Microsoft Purview 审计日志摄入（针对 Purview 规则） - 为 Forcepoint 规则配置 Forcepoint syslog 转发 - 为 Proofpoint 规则配置 Proofpoint TAP API 集成或 syslog 转发 ## 严重性级别 所有文件中的规则使用以下 Wazuh 严重性级别： | 级别 | 含义 | 数量 | |-------|---------|-------| | 0 | 基础规则（内部分组） | 1 | | 3 | 低关注度事件 | 7 | | 5 | 中等事件 | 4 | | 8 | 值得注意的事件 | 4 | | 10 | 可疑活动 | 39 | | 12 | 高严重性事件 | 39 | | 13 | 极高严重性事件 | 17 | | 14 | 关键事件 | 17 | | 15 | 最高严重性事件 | 1 | ## 贡献 欢迎贡献。要添加或改进规则： 1. Fork 本仓库。 2. 创建一个特性分支（`git checkout -b my-new-rules`）。 3. 遵循现有的命名和 ID 约定添加或修改规则文件。 4. 确保每个规则都包含 ``、适当的 `` 标签，以及适用的 MITRE ATT&CK `` 映射。 5. 在提交之前使用 `wazuh-analysisd -t` 测试你的规则。 6. 打开一个 pull request，并附上对更改的清晰描述。 ### 规则 ID 范围 为了防止冲突，每个规则文件使用专用的 ID 范围： | 文件 | ID 范围 | |---|---| | `rules/100725-Forcepoint.xml` | 107250–107254 | | `rules/108500-google_workspace.xml` | 108500–108599 | | `rules/108600-Microsoft_Purview.xml` | 108600–108699 | | `rules/108700-Proofpoint.xml` | 108700–108799 | | `rules/150000-data_loss_prevention.xml` | 150000–150199 | 添加新规则文件时，请选择一个未使用的范围并在此表中记录。 ## 许可证 本项目是开源的。有关许可证详细信息，请参阅仓库。 ## 作者 **Peter Bassill** — [UK Cyber Defence]() ([peter@cyber-defence.io](mailto:peter@cyber-defence.io))

标签：AMSI绕过, Cloudflare, Forcepoint, Google Workspace, Homebrew安装, MITRE ATT&CK, UK Cyber Defence, Wazuh, 威胁检测, 安全检测规则, 安全运营, 异常检测, 扫描框架, 日志解码器, 社区驱动, 网络安全, 规则集, 认证安全, 隐私保护