captainobvious1911/wazuh_windows_rules

# wazuh 窗口规则 Windows事件检测和关联的扩展规则集。 ## 文件 | 文件 | 覆盖内容 | | `100-logon_events_windows.xml` | 通过登录类型，4624/4625关联暴力破解 | | `101-ps_events_windows.xml` | PowerShell 4104：侦察、凭证访问、规避、持久化、横向移动 | | `102-registry_integrity_windows.xml` | FIM 注册表持久化（运行键、LSA、WDigest、IFEO、Winlogon、AppInit_DLLs） | | `103-local_rules.xml` | 默认规则去重、DCSync机器账户抑制、Kerberoasting、黄金票据 | | `104-ad_correlation_rules.xml` | 账户/组管理、DCSync、提权、GPO更改、攻击性工具 | | `105-additional_ad_detections.xml` | Kerberos预认证失败（4768/4771）、OverPass-the-Hash | ## 攻击覆盖（或至少尝试过）： Kerberoasting · DCSync · 黄金票据 · Pass-the-Hash · LSASS/SAM/NTDS导出 · AMSI绕过 · 凭证文件搜索 · 明确凭证登录 · PSRemoting/WMI横向移动 · RDP暴力破解 · 注册表/WMI/计划任务持久化 · Defender篡改 · 事件日志清除 · AD枚举（PowerView模式）· SPN枚举 · 侦察爆发关联 ## 重要 —— 部署前请阅读 **加载顺序：** 由于我在规则静默失败的问题上遇到了问题，因此手动编号为100-105，我在这部分浪费了很多时间。Wazuh按字母顺序加载，跨文件 `` 依赖必须按顺序解决。 **scriptBlockText匹配：** 所有PS规则使用 `type="pcre2"` 与 `(?i)`。没有这个，Wazuh的默认OS_Regex需要全字段匹配，模式永远不会触发。 **默认规则去重：** `103-local_rules.xml` 将几个默认Wazuh规则（60106、60122、60141等）静默到0级——它们仍然将事件路由到子规则，但停止发出重复警报。删除103会导致重复警报。 ## 寻求反馈 - 在您的环境中，暴力破解阈值（`frequency="5" timeframe="120"`）是否合理或过于嘈杂？ - 4104规则中缺少的任何常见PS攻击模式？ - 除去NT SERVICE / IIS AppPool / Azure AD Connect服务账户之外，您需要的任何假阳性抑制？ - 您是否看到任何过度杀伤的规则，可以由默认规则轻松处理，而无需跨越到另一个自定义子规则？ - 关于AD环境中Windows服务器（RDS、NPS、SQL和其他“经典”服务）的仪表板和可视化的想法？