adampielak/wazuh-e24-cloud-rules

GitHub: adampielak/wazuh-e24-cloud-rules

为 e24cloud.com 平台的 CloudTrail 事件提供自定义 Wazuh 规则，检测可疑 API 活动、权限变更及安全相关操作的云安全监控规则集。

Stars: 1 | Forks: 0

# wazuh-e24-cloud-rules ![Wazuh](https://img.shields.io/badge/wazuh-4.x-005571) ![Cloud](https://img.shields.io/badge/cloud-e24cloud.com-blue) ![License](https://img.shields.io/badge/license-MIT-green) 用于 [e24cloud.com](https://e24cloud.com) CloudTrail 事件的自定义 Wazuh 规则 — 检测 e24cloud 平台上的可疑 API 活动、权限变更以及与安全相关的操作。 ## 检测内容 | 事件类别 | 示例 | |---|---| | IAM 变更 | 用户/密钥创建，附加 policy | | 网络变更 | 安全组修改，防火墙规则 | | 实例操作 | 来自异常来源的启动/停止/终止操作 | | 认证事件 | 登录失败，API 密钥使用异常 | ## 安装 ``` # 复制 rules cp e24cloud_rules.xml /var/ossec/etc/rules/ # 重新加载 systemctl restart wazuh-manager ``` 在 `/var/ossec/etc/ossec.conf` 中配置你的 e24cloud CloudTrail 日志摄入： ``` json /var/log/e24cloud/cloudtrail/*.json ``` ## 要求 - Wazuh 4.x - 转发到 Wazuh manager 的 e24cloud CloudTrail 日志 ## 作者 tick

标签：CloudTrail, E24Cloud, Wazuh, 检测规则, 网络资产发现