Wazuh项目中的ECS字段映射优化方案

背景与意义

Wazuh作为一款开源的安全监控平台，其规则引擎在处理安全事件时起着至关重要的作用。近期，Wazuh团队正在考虑将Elastic Common Schema(ECS)中的特定字段映射到规则处理阶段，这一改进将显著提升事件分析的上下文丰富度和威胁检测能力。

ECS字段映射方案

规则相关字段优化

在规则处理阶段，计划引入ECS中的规则相关字段，包括规则描述、规则名称等关键信息。值得注意的是，原方案中使用了"license"字段，但经过讨论后更改为更合适的"author"字段，因为"license"应当用于表示实际的许可证类型而非组织名称。

威胁情报增强

威胁相关字段的映射是本次改进的重点之一。方案中完整引入了MITRE ATT&CK框架的战术和技术信息，包括：

• 战术ID和名称(如TA0005对应"Defense Evasion")
• 技术ID和名称(如T1548对应"Abuse Elevation Control Mechanism")
• 子技术信息(如T1548.003对应"Sudo and Sudo Caching")

这种结构化威胁信息的引入，使得安全分析人员能够更快速准确地理解事件背后的攻击模式。

自定义字段设计

除了标准ECS字段外，方案还设计了几个Wazuh特有的自定义字段：

• wazuh.decoders: 记录事件经过的解码器
• wazuh.rules: 记录事件匹配的规则链 这些字段采用数组形式存储，类型为keyword，便于后续的检索和分析。

技术实现细节

事件上下文丰富化

在示例事件中可以看到，一个简单的文件创建事件(/etc/doas.conf)被赋予了丰富的上下文信息：

• 关联的进程信息(nano编辑器)
• 主机详细信息
• 风险评分(21.0)
• 完整的MITRE ATT&CK映射

同样，对于进程创建事件(kmod list)，不仅记录了基本的进程信息，还包括：

• 命令行参数
• 工作目录
• 父进程信息
• 哈希值等关键属性

字段类型规范

方案对字段类型进行了严格规范：

• 时间类字段统一使用ISO 8601格式
• 数组类字段使用明确的列表形式
• 关键标识符使用标准化的GUID格式
• 风险评分采用浮点数表示

实际应用价值

这一改进方案将带来多方面的价值提升：

1. 标准化程度提高：与ECS标准对齐，便于与其他安全工具集成
2. 分析效率提升：结构化的威胁信息使安全分析更加直观
3. 追溯能力增强：完整的规则/解码器链条记录便于事件调查
4. 风险评估量化：明确的风险评分有助于事件优先级划分

总结

Wazuh通过引入ECS标准字段和设计合理的自定义字段，正在构建一个更加完善的事件处理体系。这一改进不仅提升了单条事件的信息含量，更重要的是建立了一套标准化的安全事件描述框架，为后续的大规模安全分析和自动化响应奠定了坚实基础。对于安全运维团队而言，这意味着更高效的安全监控和更精准的威胁检测能力。