Enrico2802/wazuh_rules_B28

# Wazuh Rules B28 Wazuh Rules B28 是专为 Wazuh/OSSEC 环境精心整理的 ruleset。它汇集了 Windows 检测规则、Sysmon 覆盖、可选的 AI 工具治理规则，以及适用于 Windows 和 Linux 端点的小型 ISO 27001 SCA 基线。 该仓库已准备好在 GitHub 上直接发布和投入实际使用：所有可部署的内容均位于 `ruleset/` 目录下，并可通过 `scripts/validate_repo.py` 进行 CI 验证。 ## 目录 ``` ruleset/ detection/ ossec-rules/ Wazuh/OSSEC XML detection rules sysmonconfig.xml Sysmon configuration for Windows endpoints compliance/ sca-policies/ Wazuh SCA compliance policies scripts/ validate_repo.py Local XML/YAML repository validation ``` | 路径 | 用途 | | --- | --- | | `ruleset/detection/ossec-rules/local_rules.xml` | 内置的 Wazuh 规则文件，用于快速入门。 | | `ruleset/detection/ossec-rules/windows/sysmon/` | 专注于 Sysmon 的检测规则。 | | `ruleset/detection/ossec-rules/windows/process_creation/` | 进程创建和命令行检测。 | | `ruleset/detection/ossec-rules/windows/powershell/` | PowerShell Operational 日志检测。 | | `ruleset/detection/ossec-rules/windows/builtin/` | Windows Security/System/Application 事件检测。 | | `ruleset/detection/ossec-rules/windows/ai_tools/` | 针对 AI 工具、MCP 服务器和高风险 agent 模式的可选规则。 | | `ruleset/compliance/sca-policies/` | 轻量级的面向 ISO 27001 的 SCA 基线。 | ## 快速入门 1. 备份 Wazuh manager 上的现有本地规则： ``` sudo cp /var/ossec/etc/rules/local_rules.xml /var/ossec/etc/rules/local_rules.xml.bak ``` 2. 复制内置的 ruleset： ``` sudo cp ruleset/detection/ossec-rules/local_rules.xml /var/ossec/etc/rules/local_rules.xml sudo chown root:wazuh /var/ossec/etc/rules/local_rules.xml sudo chmod 640 /var/ossec/etc/rules/local_rules.xml ``` 如果您已经在维护自定义规则，请不要盲目替换。请将 `local_rules.xml` 中的规则添加到现有的本地规则文件中，或者将此 ruleset 作为单独的文件部署，例如 `/var/ossec/etc/rules/wazuh_rules_b28.xml`。 3. 测试并重启 Wazuh： ``` sudo /var/ossec/bin/wazuh-logtest sudo systemctl restart wazuh-manager ``` ## Windows Agent 设置 许多规则依赖于 Sysmon 字段，例如 `win.eventdata.Image`、`win.eventdata.CommandLine`、`win.eventdata.TargetObject`、`win.eventdata.ImageLoaded` 和 `win.eventdata.DestinationIp`。 使用内置配置安装 Sysmon： ``` Sysmon64.exe -accepteula -i ruleset\detection\sysmonconfig.xml ``` 更新现有的 Sysmon 安装： ``` Sysmon64.exe -c ruleset\detection\sysmonconfig.xml ``` 在 Wazuh agent 配置中启用必需的 event channel： ``` Microsoft-Windows-Sysmon/Operational eventchannel Microsoft-Windows-PowerShell/Operational eventchannel ``` 重启 Windows agent： ``` Restart-Service -Name wazuh ``` Windows 的 `System`、`Application` 和 `Security` channel 通常已经被收集。对于 `builtin` 规则，请确保您的 Windows Audit Policy 会生成所需的安全事件，特别是有关登录、账户管理、目录服务更改和对象访问的事件。 ## SCA 策略 SCA 策略位于： ``` ruleset/compliance/sca-policies/windows/iso27001_windows_client.yml ruleset/compliance/sca-policies/linux/iso27001_linux_server.yml ``` 请根据您的 Wazuh SCA 设置部署它们，并先在一小部分主机上进行测试。某些检查使用基于命令的收集方式，因此集中推送的 SCA 策略可能需要在 `local_internal_options.conf` 中设置 `sca.remote_commands=1`。在操作时请将其视为一项审慎的安全决策，因为远程命令会提高 manager 对 agent 的信任要求。 ## AI 工具规则 可选的 AI 工具规则可帮助识别： | 规则文件 | 关注点 | | --- | --- | | `win_ai_tools_inventory.xml` | 通过 Syscollector 包清单检测已安装的 AI 工具。 | | `win_ai_agent_risky_modes.xml` | 高风险的 Codex/Claude agent 模式及配置更改。 | | `win_ai_network_egress.xml` | 来自 AI 及 agent 进程的网络连接。 | | `win_ai_portable_execution.xml` | 从下载目录、临时路径、venv 或开发者目录启动的 AI 工具。 | | `win_ai_mcp_server_execution.xml` | MCP 服务器和连接器的执行。 | 这些规则旨在用于治理和可见性。在启用高频告警之前，请根据您的组织需求对它们进行调整。 ## 本地验证 在发布或提交 pull request 之前，请运行仓库验证器： ``` python scripts/validate_repo.py ``` 该脚本会验证 XML 的格式正确性，在需要时封装 Wazuh 规则片段，在安装了 PyYAML 的情况下检查 SCA YAML 语法，并检测重复的 Wazuh 规则 ID。 ## 安全说明 此仓库仅包含检测和合规性内容。它不包含恶意软件样本、机密信息、凭证或生产环境配置。在发布您自己的 fork 之前，仍需运行密钥扫描并审查所有本地更改。 如果您要报告此仓库中的安全问题，请避免使用公开的 issues，并遵循 [SECURITY.md](SECURITY.md)。 ## 致谢与许可 此仓库包含派生自或受以下上游项目启发的材料： | 组件 | 上游 | 许可证 | | --- | --- | --- | | sigWah 生成的 Wazuh/OSSEC 规则和文档谱系 | | GPL-3.0 | | Sigma 检测逻辑参考 | | Detection Rule License 1.1 | | Sysmon 配置 | | Creative Commons Attribution 4.0 | 有关详细信息，请参阅 [LICENSE](LICENSE) 和 [THIRD_PARTY_NOTICES.md](THIRD_PARTY_NOTICES.md)。在重用或重新分发这些规则时，请保留上游的致谢声明。

标签：OpenCanary, OSSEC, PB级数据处理, Wazuh, 安全合规, 安全运维, 网络代理, 规则集, 逆向工具