我在/var/ossec/etc/rules/local_rules.xml中有一个powershell规则
规则是:
我在/var/ossec/etc/rules/local_rules.xml中有一个powershell规则
规则是:
<group name="sysmon,">
<rule id="255000" level="12">
<if_group>sysmon_event1</if_group>
<field name="sysmon.image">\powershell.exe||\.ps1||\.ps2</field>
<description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
<group>sysmon_event1,powershell_execution,</group>
</rule>
</group>
正如您所看到的,rule.level是12。但当我查看alerts.json时,我会看到这个结果。
{"timestamp":"2022-02-02T00:29:24.590-0800","rule":{"level":8,"description":"Sysmon - Event 1: Process creation Windows PowerShell","id":"61603","firedtimes":5,"mail":false,"groups":["windows","sysmon",>
规则级别为8。什么可能是问题?我该如何解决?
正如您在alerts.json摘录中看到的,问题是事件与您的自定义规则不匹配,而是与ID为61603的规则匹配,后者具有不同的严重性级别。这就是为什么严重性级别与您期望的不匹配的原因。
我们可以得出结论,您的自定义规则没有按预期工作。请发布您试图为其创建规则的日志,以便我们能够更好地帮助您编写。