bayusky/wazuh-custom-rules-and-decoders

# Wazuh 自定义解码器和规则 本项目包含由我创建的 Wazuh 自定义解码器和规则。部分规则基于 SOC Fortress 规则，另一些则是我自己的解码器和规则。 ### 如何使用 * 将规则和解码器文件放入 `/var/ossec/etc/rules` 和 `/var/ossec/etc/decoders`。 * 将集成脚本放入 `/var/ossec/integrations`。 * 将主动响应脚本放入 Agent 端的 `/var/ossec/active-response/bin/`。 ### 使用交互式脚本安装 wazuh-agent 您可以通过运行以下命令来安装 Wazuh Agent： 对于 Linux Agent ``` curl -sSL https://raw.githubusercontent.com/bayusky/wazuh-custom-rules-and-decoders/main/install-agent.sh -o install-agent.sh && bash install-agent.sh ``` 对于 Windows Agent ``` Invoke-WebRequest https://raw.githubusercontent.com/bayusky/wazuh-custom-rules-and-decoders/main/install-agent.ps1 -OutFile install-agent.ps1; powershell -ExecutionPolicy Bypass -File .\\install-agent.ps1 ``` 脚本将会询问： * Wazuh Agent 版本 * Wazuh Manager IP 地址 * Wazuh Agent 组（留空默认为 'default'） * 认证密钥（可选） * 安装 quarantine-malware.sh（可选） **注意：** 出于安全考虑，在直接从互联网运行脚本之前，请务必先进行检查。 ### 免责声明 您可以自由使用，也可以根据 GPLv2 的条款重新分发和/或修改它。 网络安全不易，让我们共同协作。 ### 更新 如果我参与的项目有需求，我会更新规则和解码器。 如果您觉得我的仓库有用，欢迎请我喝杯咖啡，通过 [ko-fi](https://ko-fi.com/bayusky) 或 [trakteer](teer.id/bayuskylabs)

标签：AI合规, AMSI绕过, BlueTeam, Conpot, DNS 反向解析, GitHub Advanced Security, OpenCanary, PB级数据处理, Sysmon, Wazuh, Windows安全, 主动响应, 云计算, 威胁检测, 安全加固, 安全脚本, 安全运维, 应用安全, 恶意软件隔离, 数据集, 日志解析, 网络安全, 自动化安装, 规则引擎, 解码器, 证书伪造, 隐私保护