romulo-cruz/Wazuh-IOC-Rules

# Wazuh-IOC-Rules 用于与 Wazuh 集成的规则和配置集（威胁指标） ## 仓库结构 ### 主要目录 - `active-response/`：主动响应脚本 - `bin/`：主动响应可执行文件（例如：ioc-builder.py） - `config/`：配置文件 - `ossec.conf`：Wazuh 主要配置 - `decoders/`：自定义解码器 - `local_decoder.xml`：本地解码器 - `integrations/`：集成脚本 - `custom_integration.py`：自定义集成 - `lists/`：CDB 列表和 IoC - `mal-ip-list`：恶意 IP - `mal-url-list`：可疑 URL - `mal-md5-list`：恶意 MD5 哈希值 - `rules/`：自定义规则 - `local_rules.xml`：本地规则 - `tests/`：自动化测试 - `rule_tests/`：规则测试 - `tools/`：实用工具脚本 - `rule_validator.sh`：规则验证器 ### 主要文件 - `install.sh`：安装/更新脚本 - `.gitignore`：Git 忽略文件配置 - `README.md`：项目文档 ## IoC 配置 本仓库包含用于自动检测和存储以下内容的配置： - 恶意 IP - 可疑 URL - 恶意文件的 MD5 哈希值 ## 安装说明 1. 克隆本仓库： git clone [URL_DO_REPOSITÓRIO] /opt/wazuh-rules 2. 运行安装脚本： cd /opt/wazuh-rules sudo ./install.sh ## 更新说明 要更新规则和 IoC： ``` cd /opt/wazuh-rules git pull sudo ./install.sh ``` ## 规则结构 - 自定义规则的 ID 必须大于 100000，以避免冲突 - 所有自定义解码器必须在 `decoders/local_decoder.xml` 中定义 - 所有自定义规则必须在 `rules/local_rules.xml` 中定义 ## 测试 要运行规则测试： ``` cd /opt/wazuh-rules ./tools/rule_validator.sh ``` ## 贡献指南 1. 为你的功能创建一个分支 (`git checkout -b feature/nome-da-feature`) 2. 提交你的更改 (`git commit -am 'Adiciona nova feature'`) 3. 推送到该分支 (`git push origin feature/nome-da-feature`) 4. 创建一个 Pull Request

标签：AMSI绕过, IOC, IP 地址批量处理, MD5, PB级数据处理, SOAR, Wazuh, 主动响应, 失陷指标, 威胁情报, 威胁检测, 安全运维, 安全配置管理, 安全集成, 应用安全, 开发者工具, 恶意IP检测, 恶意URL检测, 恶意文件哈希, 日志解码器, 网络信息收集, 网络安全, 自定义规则, 逆向工具, 隐私保护