nix-warden/NixWarden-Wazuh-Rules
GitHub: nix-warden/NixWarden-Wazuh-Rules
该项目是一个经过筛选、验证并映射到 MITRE ATT&CK 框架的 Wazuh 黄金检测规则集,解决社区规则质量参差、ID 冲突和缺乏标准化的问题。
Stars: 0 | Forks: 0
# NixWarden-Wazuh-Rules 🛡️
## 📖 自主 SOC 的黄金规则集
**NixWarden-Wazuh-Rules** 是一个经过精心筛选和强化的 Wazuh 检测规则仓库。与标准的社区分支不同,本仓库遵循 **“黄金规则集”** 理念:每一条规则都经过了过滤、语法验证,并映射到 **MITRE ATT&CK 框架**。
## 🧠 规则 ID 策略与命名空间管理
为了防止因规则 ID 重复导致 `Wazuh-Manager` 服务故障,本仓库严格遵守自定义的 ID 命名空间。
### 命名空间约定
- **0 - 99,999:** 预留给标准的 Wazuh 默认规则。**请勿使用。**
- **100,000 - 199,999:** 预留给 **NixWarden-Wazuh-Rules**(自定义及改编的检测规则)。
- **100,000 - 100,029:** 预留给 **local_rules.xml**
- **100,030 - 100,100** 预留给 **自定义 AWS 规则**
- **200,000+:** 预留给自定义/本地覆盖及企业扩展。
### 开箱即用的例外情况 (> 100,000)
Wazuh 包含一些超出标准 `99,999` 限制的默认规则范围。为了防止冲突,以下范围由 Wazuh 保留,**严禁使用**:
- **150,100 - 150,150:** 预留给 Wazuh FireEye 规则。
- **182,013 - 185,000:** 预留给 Wazuh Sysmon 规则。
- **184,665 - 184,777:** 预留给 Wazuh Sysmon 规则。
- **500,000 - 500,102:** 预留给 Wazuh Unbound 规则。
_在部署之前,请务必检查您的 `/var/ossec/etc/rules/` 目录,以确保不存在本地冲突。_
## 🚀 核心功能
- **MITRE ATT&CK 映射:** 每条规则都包含 `` 标签,以实现一致的威胁狩猎。
- **洁净室设计:** 我们不会盲目地复制粘贴;我们对逻辑进行调整,以确保在高负载环境下的性能优化。
## ⚖️ 合规与归属
本仓库是一个精选合集。虽然我们编写了原创规则,但我们也对社区驱动的检测逻辑进行了改编和优化。
- **来源归属:** 本项目整合了受 [SOCFortress](https://github.com/socfortress/Wazuh-Rules) 及其他社区贡献者启发的检测逻辑。我们感谢他们在开源 SIEM 社区中做出的基础性贡献。
- **许可证:** 本仓库基于 **MIT License** 发布。请注意,虽然我们的结构性工作和自定义规则遵循 MIT,但在适用情况下,个别规则的改编仍受其各自的原始许可证约束。详情请参阅 LICENSE.md。
_欢迎社区贡献。请提交 issue 或 pull request 以建议新的检测规则。_
标签:Wazuh, 子域枚举, 安全运营, 扫描框架, 检测规则, 网络资产发现