在Wazuh中，powershell的rule.level与alerts.json不同

Question

我在/var/ossec/etc/rules/local_rues.xml中有一个powershell规则。

规则是：

 <group name="sysmon,">
   <rule id="255000" level="12">
   <if_group>sysmon_event1</if_group>
   <field name="sysmon.image">\\powershell.exe||\\.ps1||\\.ps2</field>
   <description>Sysmon - Event 1: Bad exe: $(sysmon.image)</description>
   <group>sysmon_event1,powershell_execution,</group>
   </rule>
</group>

正如你所看到的，rule.level是12，但是当我看alerts.json时，我看到了这个结果。

{"timestamp":"2022-02-02T00:29:24.590-0800","rule":{"level":8,"description":"Sysmon - Event 1: Process creation Windows PowerShell","id":"61603","firedtimes":5,"mail":false,"groups":["windows","sysmon",>

rule.level是8，有什么问题，我如何解决？

Answer 1

正如您在alerts.json摘录中所看到的，问题是事件与您的自定义规则不匹配，而是与ID 61603的规则匹配，ID61603具有不同的严重性级别。这就是为什么严重级别与您期望的级别不匹配的原因。

我们可以得出结论，您的自定义规则不像预期的那样工作。请张贴日志，您正试图创建的规则，以便我们可以更好地帮助您编写它。