Я пытаюсь переписать правило в соответствии с документацией, например:
https://documentation.wazuh.com/3.12/learning-wazuh/replace-stock-rule.html
Итак, я скопировал одно правило в local_rules. xml создал свою собственную группу (до этого также пытался поместить ее в исходный тег группы правила), но, похоже, он полностью игнорирует ее:
Это то, что я поместил в local_rules. xml:
<group name="istvan">
<rule frequency="8" id="31533" level="9" overwrite="yes" timeframe="20">
<if_matched_sid>31530</if_matched_sid>
<same_source_ip/>
<description>High amount of POST requests in a small period of time (likely bot).</description>
<group>pci_dss_6.5,pci_dss_11.4,gdpr_IV_35.7.d,nist_800_53_SA.11,nist_800_53_SI.4,</group>
</rule>
</group>
Я только изменил уровень на 9 и добавил тег overwrite = "yes". Идея состоит в том, что он не отправляет мне эти предупреждения (так как мой порог установлен на уровне 10+), сохраняет, перезапускает, но полностью игнорирует его, и я все еще получаю эти предупреждения с тегом уровня 10.
Честно говоря, я начинаю не понимать, почему это происходит.
Есть идеи?
Спасибо.