Правила и декодеры Wazuh 4.14 - анализ событий

Документация Wazuh 4.14 - руководство по SIEM/XDR

Этот раздел описывает движок анализа событий Wazuh 4.14: правила обнаружения угроз и декодеры для извлечения структурированных данных из необработанных логов. Понимание работы этих компонентов необходимо для настройки платформы под конкретную инфраструктуру и создания собственных правил обнаружения.

Как работает анализ событий

Wazuh обрабатывает каждое поступающее событие в три этапа:

Предварительное декодирование (pre-decoding) - извлечение стандартных полей syslog: временная метка, имя хоста, имя программы
Декодирование (decoding) - извлечение специфичных полей из тела сообщения: IP-адреса, имена пользователей, действия, URL-адреса
Анализ правилами (rule matching) - сопоставление декодированного события с набором правил для генерации алерта

Декодеры и правила работают совместно: декодер подготавливает структурированные данные, а правило определяет, является ли событие значимым с точки зрения безопасности.

Содержание раздела

Правила обнаружения

Полное описание синтаксиса правил Wazuh: XML-элементы (id, level, description, group, match, regex, if_sid, frequency, timeframe), порядок выполнения и перезапись правил, обзор стандартного набора правил, маппинг MITRE ATT&CK, классификация уровней 0-15, составные правила, списки CDB и тестирование с wazuh-logtest.

Декодеры

Синтаксис декодеров Wazuh: XML-элементы (name, parent, regex, order, prematch, program_name, type), иерархия родительских и дочерних декодеров, фаза предварительного декодирования, обзор стандартных декодеров, JSON-декодер, создание пользовательских декодеров и тестирование с wazuh-logtest.

Стандартный набор правил

Wazuh включает более 4000 правил и 1500 декодеров в стандартной поставке. Стандартный набор охватывает:

Операционные системы (Linux, Windows, macOS)
Сетевые устройства (Cisco, Fortinet, pfSense)
Веб-серверы (Apache, Nginx, IIS)
Базы данных (MySQL, PostgreSQL, MongoDB)
Облачные платформы (AWS, Azure, GCP)
Приложения безопасности (Suricata, OSSEC, ClamAV)
Системы аутентификации (PAM, LDAP, Active Directory)

Стандартные правила расположены в /var/ossec/ruleset/rules/, декодеры - в /var/ossec/ruleset/decoders/. Эти файлы обновляются при обновлении Wazuh и не должны редактироваться напрямую.

Пользовательские правила и декодеры

Пользовательские правила и декодеры размещаются в отдельных файлах, которые не затрагиваются при обновлении:

Правила: /var/ossec/etc/rules/local_rules.xml
Декодеры: /var/ossec/etc/decoders/local_decoder.xml

Подробные инструкции по созданию пользовательских правил и декодеров приведены в соответствующих подразделах.

Тестирование

Wazuh предоставляет утилиту wazuh-logtest для интерактивного тестирования декодеров и правил без влияния на рабочую систему:

/var/ossec/bin/wazuh-logtest

Подробнее о тестировании см. в разделах правила и декодеры .

Связанные разделы

Анализ журналов - сбор и обработка логов
Мониторинг целостности файлов - FIM с поддержкой YARA
Активное реагирование - действия при срабатывании правил

Last updated on 8, апреля 2026