socfortress/Wazuh-Rules
GitHub: socfortress/Wazuh-Rules
一套高级 Wazuh 检测规则集,旨在提供比默认规则更精准、更具描述性的威胁检测能力,覆盖二十多种安全工具和数据源的集成规则。
Stars: 1247 | Forks: 286
[
](https://www.socfortress.co/)
# 高级 Wazuh 检测规则 [](https://www.socfortress.co/trial.html)
[][forks-url]
[][stars-url]
[][license-url]
[][linkedin-url]
[](https://www.socfortress.co/trial.html)
## 关于本仓库
本仓库的目标是为 Wazuh 社区提供更准确、更具描述性,并经过各种来源和集成充实的规则集。
原因如下:
* 检测规则可能是一件棘手的事情,我们认为每个人都应该有机会使用一个强大且不断增长的规则集。
* Wazuh 是一个很棒的 EDR 代理,但是默认的规则集相对宽松(在我们看来)。我们希望开始为社区建立一个强大的 Wazuh 规则库,供大家自行实施,并随着新威胁的出现进行扩展。
* 网络安全已经够难了,让我们一起合作吧 :smile:
Let SOCFortress Take Your Open Source SIEM to the Next Level
](https://www.socfortress.co/)
# 高级 Wazuh 检测规则 [](https://www.socfortress.co/trial.html)
[][forks-url]
[][stars-url]
[][license-url]
[][linkedin-url]
[](https://www.socfortress.co/trial.html)
高级 Wazuh 检测规则
已经部署了 Wazuh 并正在收集日志,但正在寻找更好的检测规则?不用再找了。本仓库的目标是为 Wazuh 社区提供更准确、更具描述性,并经过各种来源和集成充实的规则集。
全球首个开源云 SOC »
Wazuh 文档
·
终身免费层级
·
我们的博客
(返回顶部)
### 支持的规则和集成 以下是本仓库中当前包含的规则和集成。诸如 Office365、Trend Micro 等集成将在其各自的文件夹中提供脚本以供使用。请随意基于这些脚本进行构建并做出贡献 :smile: * [Windows 版 Sysmon](https://github.com/socfortress/Wazuh-Rules/tree/main/Windows_Sysmon) * [Linux 版 Sysmon](https://github.com/socfortress/Wazuh-Rules/tree/main/Sysmon%20Linux) * [Office365](https://github.com/socfortress/Wazuh-Rules/tree/main/Office%20365) * [Microsoft Defender](https://github.com/socfortress/Wazuh-Rules/tree/main/Office%20Defender) * [Sophos](https://github.com/socfortress/Wazuh-Rules/tree/main/Sophos) * [MISP](https://github.com/socfortress/Wazuh-Rules/tree/main/MISP) * [Osquery](https://github.com/socfortress/Wazuh-Rules/tree/main/Osquery) * [Yara](https://github.com/socfortress/Wazuh-Rules/tree/main/Yara) * [Suricata](https://github.com/socfortress/Wazuh-Rules/tree/main/Suricata) * [Packetbeat](https://github.com/socfortress/Wazuh-Rules/tree/main/Packetbeat) * [Falco](https://github.com/socfortress/Wazuh-Rules/tree/main/Falco) * [Modsecurity](https://github.com/socfortress/Wazuh-Rules/tree/main/Modsecurity) * [F-Secure](https://github.com/socfortress/Wazuh-Rules/tree/main/F-Secure) * [Domain Stats](https://github.com/socfortress/Wazuh-Rules/tree/main/Domain%20Stats) * [Snyk](https://github.com/socfortress/Wazuh-Rules/tree/main/Snyk) * [Autoruns](https://github.com/socfortress/Wazuh-Rules/tree/main/Windows%20Autoruns) * [Sigcheck](https://github.com/socfortress/Wazuh-Rules/tree/main/Windows%20Sysinternals%20Sigcheck) * [Powershell](https://github.com/socfortress/Wazuh-Rules/tree/main/Windows%20Powershell) * [Crowdstrike](https://github.com/socfortress/Wazuh-Rules/tree/main/Crowdstrike) * [Alienvault](https://github.com/socfortress/Wazuh-Rules/tree/main/Domain%20Stats) * Tessian - 开发中 ### 路线图 是否已经配置好了想要分享的集成?或者有一个需要帮助的集成想法?请随时将其添加到路线图中。 - [ ] 欢迎提出想法 :smile:(返回顶部)
## 入门指南 请随意实施本仓库中包含的所有规则,或者根据您的需要进行挑选。请参阅下面的安装部分,了解可以在您的 Wazuh Manager 上运行的 bash 脚本,以快速让这些规则投入使用! ### 前置条件 需要 Wazuh-Manager 4.x 版本。 [Wazuh 安装文档](https://documentation.wazuh.com/current/index.html) [需要帮助? - 聘请 SOCFortress](https://www.socfortress.co/contact_form.html) ### 安装 _您可以选择手动将 .xml 规则文件下载到您的 Wazuh Manager 上,或者使用我们的 wazuh_socfortress_rules.sh 脚本_ 1. 切换为 Root 用户 2. 运行脚本 curl -so ~/wazuh_socfortress_rules.sh https://raw.githubusercontent.com/socfortress/Wazuh-Rules/main/wazuh_socfortress_rules.sh && bash ~/wazuh_socfortress_rules.sh (返回顶部)
## 联系方式 SOCFortress - [][linkedin-url] - info@socfortress.coLet SOCFortress Take Your Open Source SIEM to the Next Level
(返回顶部)
## 致谢 安全需要我们共同努力!非常感谢那些支持者和未来的支持者! * [Wazuh 团队](https://documentation.wazuh.com/current/index.html) * [Taylor Walton](https://www.youtube.com/channel/UC4EUQtTxeC8wGrKRafI6pZg) * [Juan Romero](https://github.com/juaromu)标签:AMSI绕过, Metaprompt, SOCFortress, Wazuh, 威胁检测, 安全信息与事件管理, 安全运营, 应用安全, 扫描框架, 搜索引擎爬取, 网络安全, 规则集, 隐私保护