修改ossec规则以提高其级别

问题描述 投票:0回答:1

我正在尝试将规则修改为0015-ossec_rules.xml

<rule id="10550" level="10">
<if_sid>550</if_sid>
<regex>/home/.*/\.ssh/</regex>
<description>Integrity checksum changed in /home/*/.ssh/</description>
</rule>

但是当我对任何用户的 .ssh 进行修改时,规则警报来自

<rule id="550" level="7">
<category>ossec</category>
<decoded_as>syscheck_integrity_changed</decoded_as>
<description>Integrity checksum changed.</description>
<mitre>
  <id>T1565.001</id>
</mitre>
<group>syscheck,syscheck_entry_modified,syscheck_file,pci_dss_11.5,gpg13_4.11,gdpr_II_5.1.f,hipaa_164.312.c>
</rule>

有什么想法吗?谢谢

regex rules wazuh
1个回答
0
投票

看起来您正在尝试通过创建从规则 550 派生的子规则来提高 

.ssh
目录中更改的警报级别。为了确保新规则正确触发,您应该指定正则表达式应用于 
file
字段,包含更改文件的路径。以下是修改规则的方法:

<rule id="100002" level="8">
    <if_sid>550</if_sid>
    <field name="file" type="pcre2">^/home/.*/\.ssh/</field>
    <description>Integrity checksum changed in /home/*/.ssh/</description>
</rule>

这应确保 

/home/.*/.ssh/
目录内的任何完整性更改都会触发更高级别的警报。有关使用文件完整性监控 (FIM) 警报的更多详细指南,请参阅我们关于创建自定义 FIM 规则的文档。

我希望这有帮助

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.