0

我在 /var/ossec/etc/rules/local_rules.xml 中有一个 powershell 规则
规则是: 
 <group name="sysmon,">
   <rule id="255000" level="12">
   <if_group>sysmon_event1</if_group>
   <field name="sysmon.image">\\powershell.exe||\\.ps1||\\.ps2</field>
   <description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
   <group>sysmon_event1,powershell_execution,</group>
   </rule>
</group>

如您所见,rule.level 为 12。但是当我查看 alerts.json 时,我看到了这个结果。

{"timestamp":"2022-02-02T00:29:24.590-0800","rule":{"level":8,"description":"Sysmon - Event 1: Process creation Windows PowerShell","id":"61603","firedtimes":5,"mail":false,"groups":["windows","sysmon",>

rule.level 为 8。可能是什么问题,我该如何解决?

4

1 回答 1

1

正如您在alerts.json摘录中看到的那样,问题在于事件与您的自定义规则不匹配,而是与61603具有不同严重级别的 ID 规则匹配。这就是严重性级别与您期望的不匹配的原因。

我们可以得出结论,您的自定义规则没有按预期工作。请发布您尝试为其创建规则的日志,以便我们更好地帮助您编写它。

于 2022-02-02T14:47:37.193 回答