Regel definieren
Formular ausfüllen → XML wird live generiert
Basis-Eigenschaften
Eigene Regeln: 100000–199999
Kategorien für Dashboards & Filter
Übergeordnete Regel (optional)
Kommagetrennt möglich
Bedingungen (Match-Felder)
Frequenz & Zeitfenster
Min. Ereignisse innerhalb timeframe
Optionen
Alert für N Sekunden nach erstem Treffer unterdrücken
MITRE ATT&CK (optional)
/var/ossec/etc/rules/local_rules.xml
Gespeicherte Regeln
Noch keine gespeicherten Regeln. Formular ausfüllen und "Regel speichern" klicken.
Vorlage auswählen → Felder werden automatisch befüllt → Tab "Regel-Editor" für Anpassung.
Match-Typen
| Typ | Beschreibung |
|---|---|
| match | Enthält den exakten String (case-insensitive) |
| regex | POSIX Extended Regular Expression |
| pcre2 | Perl Compatible Regular Expression (modern) |
| negation | Trifft zu wenn String NICHT enthalten ist |
| field | Decoded-Field aus dem JSON-Log prüfen |
Level-Übersicht
| Level | Bedeutung |
|---|---|
| 1–3 | Info / Debug (keine Alerts) |
| 4–7 | Low / Niedrig |
| 8–11 | Medium / Mittel |
| 12–14 | High / Hoch |
| 15 | Critical / Kritisch |
Häufige Felder (field name)
| Feld | Beschreibung |
|---|
Wichtige Hinweise
- Eigene Rule-IDs: 100000–199999
- Datei:
/var/ossec/etc/rules/local_rules.xml - Wrapping-Element:
<group name="..."> - Nach Änderung:
systemctl restart wazuh-manager - Test:
/var/ossec/bin/wazuh-logtest - Validierung:
/var/ossec/bin/wazuh-control check-config