0

我正在按照 Wazuh FIM 的示例更改事件的严重性。应用该规则后,我开始在新规则 id:100345 下接收 Kibana 事件,这就是我想要的(在所有事件部分下)。但是我停止接收原始事件,例如规则 550 的事件(校验和已更改)我假设是因为该新规则。因此,Kibana FIM 模块也没有显示任何事件。

所以我的问题是:

  • 我可以配置发布展位活动的 WAZUH(本地 100345 和原始 550)吗?
  • 我可以配置 FIM,它也使用来自我的新本地规则的事件,ID 为 100345?
4

1 回答 1

2

为同一事件引发两个警报是不正确的,因为它可能会造成混淆(重复的警报可能看起来像是两个不同的安全事件,而不仅仅是一个)。

Wazuh 文档中提出的示例会覆盖与给定模式匹配的所有 FIM 事件。这意味着将所有可能的 FIM 事件统一到一个单一的、通用的高级警报中。

发生这种情况是因为该示例使用带有值 syscheck 的字段 if_group 并将所有 FIM 事件分组。

如果您想保留不同 FIM 警报的含义(例如,在您的自定义关键路径上区分“完整性校验和已更改”与“文件已删除”),则最佳解决方案需要为每个不同的事件,并使用if_sidfield 而不是. 使它们成为原始事件的子级if_group

例如,如果您希望 /my/important/path 文件的级别为 12 的“完整性校验和已更改”警报,您可以创建自定义警报:

<rule id="100345" level="12">
  <if_sid>550</if_sid>
  <match>/my/important/path</match>
  <description>CRITICAL: Integrity checksum changed for an important file!</description>
</rule>

当路径与您的关键路径匹配时,这将修改警报“完整性校验和已更改”,并将所有其他 FIM 警报保留为默认值。

如果您想添加另一个,例如,对于已删除的文件,您可以检查Wazuh 官方规则集中的 ossec 规则,并使用 if_sid(父 ID)值基于原始规则创建新规则,并为它们提供规则的 ID你想改进。当然,如果事件与您定义的路径不匹配,默认规则仍会为这些文件生成具有默认级别的警报。

此解决方案还允许您为不同的事件甚至不同的警报级别定义不同的描述。


编辑

具有自定义规则的示例 fi 仪表板

如果您希望新警报显示在 FIM Kibana 仪表板中,您只需向它们添加所需的组,例如,通过处理父规则的组。

<rule id="100345" level="12">
  <category>ossec</category>
  <if_sid>550</if_sid>
  <match>/tmp</match>
  <description>CRITICAL: Integrity checksum changed for an important file! $(syscheck.path)</description>
  <group>syscheck,pci_dss_11.5,gpg13_4.11,gdpr_II_5.1.f,hipaa_164.312.c.1,hipaa_164.312.c.2,nist_800_53_SI.7,tsc_PI1.4,tsc_PI1.5,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>
于 2020-10-14T14:47:24.250 回答