04-16-2020, 09:12 AM
Co zrobić jeżeli w wazuh chciałbym zmienić istniejąca regułę tzn np żeby zdarzenie Multiple zachodziło dla 6 błędnych logowań anie dla 8? Czy należy edytować plik w folderze "/var/ossec/ruleset/rules/..." ?
wazuh pytanie
Users browsing this thread: 1 Guest(s)
|
wazuh pytanie
|
|
04-17-2020, 08:43 AM
Aby uniknąć ewentualnych problemów przy aktualizacji i zachować przejrzystość przy kolejnych zmianach należy skopiować interesującą nas regułę do pliku /var/ossec/etc/rules/local_rules.xml dokonać edycji reguły oraz dodać overwrite="yes" w linii z rule id.
Zgodnie z dokumentacją: https://documentation.wazuh.com/3.12/lea...-rule.html |
|
|
