root-froxward/wazuh-rules

# (c) 2024-2026 thelema-froxward # 根据 MIT License 授权 Wazuh 自定义检测规则 Wazuh XML 检测规则的综合集合，分为 MITRE ATT&CK 和 Web Attacks 两大类 ## 安装 1. 将规则文件复制到 `/var/ossec/etc/rules/` 2. 将 `filename.xml` 添加到 `/var/ossec/etc/ossec.conf` 中的 `` 内 3. 重启 Wazuh：`systemctl restart wazuh-manager` ## 规则 ID 范围 |类别|规则 ID 范围| |-|-| |Web Attacks|100100 – 100999| |MITRE ATT\&CK|101000 – 101999| ## 注意事项 * 在部署到生产环境之前，请在 staging 环境中测试规则。 * 调整 `frequency` 和 `timeframe` 阈值以匹配您的流量模式。 * 规则引用标准的 Wazuh decoders（web-accesslog, syslog, json 等）

标签：AMSI绕过, Cloudflare, Linux服务器, MITRE ATT&CK, PB级数据处理, Wazuh, Web安全, XML配置, 威胁检测, 安全运维, 异常监测, 攻击识别, 网络安全, 蓝队分析, 隐私保护