Препарируем Wazuh. Часть 3: источники не из коробки
В предыдущей статье мы говорили о том, как можно подключить к Wazuh стандартные источники, идущие, что называется, «из коробки». С ними все относительно просто: выполняем действия, представленные в инструкции по подключению Wazuh на источнике, выполняем необходимые правки на стороне агента и все должно начать работать без проблем.
Однако, в реальности все бывает не так просто. Во многих организациях есть самописное или сильно кастомизированное ПО, логи с которых SIEM не умеет нормализовывать. То есть по факту он просто незнаком с данным видом источников. Если такой нестандартный источник передает события по Syslog, то в SIEM, скорее всего, мы увидим событие практически в сыром виде. То есть поля, которые обычно заполняются при нормализации, в данном случае не будут заполнены.
В этой статье мы поговорим о том, что можно сделать средствами Wazuh для нормализации событий с таких источников.
Читать далееИсточник: Хабрахабр
Похожие новости
- Android. Кража данных через клавиатуру: миф или реальность?
- Spark_news: Продолжается рост закупок госкомпаний у самозанятых
- Автоматизация против клиента: как рекламные звонки вредят людям и брендам
- Большой обзор рекламных форматов и лучших практик в 2025 году
- А был ли патчик? Как долго живут уязвимости в Рунете
- ИИ атакует, ИИ защищает: как использовать нейросети в ИБ
- Ginс Radar: Ginc Radar: как не утонуть в своём IT-стеке
- Разбор заданий AI CTF на Positive Hack Days Fest. Часть 2
- ИИ-агенты и удостоверение персональных данных
- Представляем «Динамическое SEO» — новый тип проектов в PromoPult