thelema-froxward/wazuh-rules

# (c) 2024-2026 thelema-froxward # 根据 MIT 许可证授权 Wazuh 自定义检测规则 一个全面的 Wazuh XML 检测规则集合，分为 MITRE ATT&CK 和 Web Attacks 两大类 ## 安装 1. 将规则文件复制到 `/var/ossec/etc/rules/` 2. 在 `/var/ossec/etc/ossec.conf` 的 `` 内部添加 `filename.xml` 3. 重启 Wazuh：`systemctl restart wazuh-manager` ## 规则 ID 范围 |类别|规则 ID 范围| |-|-| |Web Attacks|100100 – 100999| |MITRE ATT\&CK|101000 – 101999| ## 注意事项 * 在部署到生产环境之前，请先在预发布环境中测试规则。 * 调整 `frequency` 和 `timeframe` 阈值以匹配您的流量模式。 * 规则引用了标准的 Wazuh 解码器（web-accesslog、syslog、json 等）。

标签：AMSI绕过, BurpSuite集成, Cloudflare, Homebrew安装, MITRE ATT&CK, PFX证书, Syslog, Wazuh, Web安全, Web访问日志, XML规则, 云计算, 威胁检测, 安全运营, 开源安全工具, 扫描框架, 攻击检测, 蓝队分析, 规则引擎, 逆向工程平台