问题描述
我正在跟踪Changing severity事件的Wazuh FIM示例。 应用该规则后,我开始在新规则ID:100345下收到Kibana事件,这是我想要的(在“所有事件”部分下)。但是我不再接收原始事件,例如规则550(校验和已更改)的事件,我假设是因为该新规则。因此,因此,Kibana FIM模块也不会显示任何事件。
所以我的问题是:
- 我可以配置WAZUH发布展位事件(本地100345和原始550)吗?
- 我可以配置FIM还是使用ID为100345的新本地规则中的事件吗?
解决方法
针对同一事件引发两个警报是不正确的,因为这可能会造成混淆(重复的警报可能看起来像是两个不同的安全事件,而不仅仅是一个)。
Wazuh文档中提出的示例将覆盖与给定模式匹配的所有FIM事件。这意味着将所有可能的FIM事件统一为一个通用的高级警报。
之所以会发生这种情况,是因为该示例使用值为syscheck的if_group字段并将所有FIM事件分组。
如果要保留不同FIM警报的含义(例如,在自定义关键路径上区分“完整性校验和已更改”与“文件已删除”)的最佳解决方案,则需要编写自定义高级别警报,针对每个不同的事件,并使用if_sid字段而不是if_group使它们成为原始事件的孩子。
例如,如果您希望/ my / important / path文件的级别为12的“完整性校验和已更改”警报,则可以创建自定义警报:
<rule id="100345" level="12">
<if_sid>550</if_sid>
<match>/my/important/path</match>
<description>CRITICAL: Integrity checksum changed for an important file!</description>
</rule>
当路径与您的关键路径匹配时,这将修改警报“完整性校验和已更改”,并将所有其他FIM警报保留为默认。
例如,如果要添加另一个文件(例如已删除的文件),则可以检查ossec rules at Wazuh official ruleset并使用if_sid(父ID)值基于原始文件创建新文件,并为其指定ID。想要改进的规则。当然,如果事件与您定义的路径不匹配,则默认规则仍会为这些文件生成具有默认级别的警报。
此解决方案还允许您为不同事件甚至不同警报级别定义不同的描述。
修改
如果您希望新警报显示在FIM Kibana仪表板中,则只需将所需的组添加到它们,例如,通过处理父规则的组。
<rule id="100345" level="12">
<category>ossec</category>
<if_sid>550</if_sid>
<match>/tmp</match>
<description>CRITICAL: Integrity checksum changed for an important file! $(syscheck.path)</description>
<group>syscheck,pci_dss_11.5,gpg13_4.11,gdpr_II_5.1.f,hipaa_164.312.c.1,hipaa_164.312.c.2,nist_800_53_SI.7,tsc_PI1.4,tsc_PI1.5,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC7.3,</group>
</rule>