2022年6月1日
falco hips规则引擎——仅仅支持单一事件匹配,算子比较少,亮点是事件上报里包含取证。
摘要: 我看了其所有的规则,都是单事件类的规则匹配,不含多事件的关联。官方文档里说了:Condition Syntax A condition is a boolean expression related to a single event ...单一事件。。。 规则清单:https://github.c 阅读全文
posted @ 2022-06-01 18:30 bonelee 阅读(235) 评论(0) 推荐(0) 编辑
wazuh hips规则引擎和ossec的差异分析——本质上语法层面和ossec没有变化,但是公共字段提取出来了,同时正则匹配数据提取灵活性更强
摘要: https://documentation.wazuh.com/current/user-manual/ruleset/ruleset-xml-syntax/rules.html 因为是继承自ossec,所以我们从其官方文档里看二者的差异。 Rules Syntax The Wazuh Rulese 阅读全文
posted @ 2022-06-01 18:15 bonelee 阅读(346) 评论(0) 推荐(0) 编辑
从上层检测逻辑看ossec hips规则引擎——支持单事件正则,统计类规则,支持前后关联,例如暴力破解,爆破成功检测
摘要: 检测规则: https://github.com/ossec/ossec-hids/blob/master/etc/rules/ 针对web安全里的,https://github.com/ossec/ossec-hids/blob/master/etc/rules/web_appsec_rules. 阅读全文
posted @ 2022-06-01 15:38 bonelee 阅读(194) 评论(0) 推荐(0) 编辑