Custom Rule Oluşturma Wazuh için Custom Rule Amaç Unknown user or bad password. 5 dakikada aynı kullanıcı adı ve şifre için bu hatayı alıyorsak bunu bir mail ile ilgililere bildirmek. Adımlar EventID ile ilişkili Rule'u bulmaca (rule'un yanında 0580-win-security_rules.xml 'e bak RuleID=60122) Bu Rule'u notepad veya benzeri bir alana kopyala /var/ossec/ruleset/rules/0580-win-security_rules.xml dosyasını aç. 60122 ID li kuralı bul. Nano ile ^w kullanabilirsiniz. 60105 ^529$|^4625$ no_full_log Logon failure - Unknown user or bad password. T1078 T1531 authentication_failed,gdpr_IV_32.2,gdpr_IV_35.7.d,gpg13_7.1,hipaa_164.312.b,nist_800_53_AC.7,nist_800_53_AU.14,pci_dss_10.2.4,pci_dss_10.2.5,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC$ Custom Rule'ların ID leri 100.000 ile 120.000 arası olması gerekiyor. Bu nedenle 3 ncü adımda kopyaladığımız Rule da ID yi değiştir. Örn=1000001 yap. Aşağıdaki gibi olmalıdır 60105 ^529$|^4625$ no_full_log Logon failure - Unknown user or bad password(HM). T1078 T1531 authentication_failed,gdpr_IV_32.2,gdpr_IV_35.7.d,gpg13_7.1,hipaa_164.312.b,nist_800_53_AC.7,nist_800_53_AU.14,pci_dss_10.2.4,pci_dss_10.2.5,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC$ Not: Rule Id satırındaki frequncy (300 saniye de 2 kez olursa) ve level parametrelerini eklemeyi unutma!!! wazuhu yeniden başlat. sudo systemctl restart wazuh-manager Custom Rule İçin Alert Oluşturma Amaç Yeni olşturduğumuz custom rule için alert tipi tanımlama. Adımlar /var/ossec/etc nano ossec.conf ile gir. email_alert_level 10 yap. 3 10 Mail gönderilecek adresi yaz. rule_id'yi custom rule'a verdiğin ID yap. it-helpdesk@solviads.com 100001 ^x ile çık ve çıkarken kaydetmeyi unutma. sudo systemctl restart wazuh-manager servisi yeniden başlat. wazuh discover a gir. Custom ID filtrele sonucu gör.