Препарируем Wazuh. Часть 3: источники не из коробки
В предыдущей статье мы говорили о том, как можно подключить к Wazuh стандартные источники, идущие, что называется, «из коробки». С ними все относительно просто: выполняем действия, представленные в инструкции по подключению Wazuh на источнике, выполняем необходимые правки на стороне агента и все должно начать работать без проблем.
Однако, в реальности все бывает не так просто. Во многих организациях есть самописное или сильно кастомизированное ПО, логи с которых SIEM не умеет нормализовывать. То есть по факту он просто незнаком с данным видом источников. Если такой нестандартный источник передает события по Syslog, то в SIEM, скорее всего, мы увидим событие практически в сыром виде. То есть поля, которые обычно заполняются при нормализации, в данном случае не будут заполнены.
В этой статье мы поговорим о том, что можно сделать средствами Wazuh для нормализации событий с таких источников.
Читать далееИсточник: Хабрахабр
Похожие новости
- ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
- Три архитектурных решения для multi-tenant B2B SaaS, о которых я пожалел, что не узнал раньше
- Бэкдор вместо тестового
- Ваш Telegram-бот на базе LLM уязвим. Я написал сканер, чтобы доказать это на популярном Open Source проекте
- Цифровой аудит против галлюцинаций по ГОСТу. Как понять, когда ответу ИИ нельзя верить?
- [Перевод] Как ошибка в интернет‑картах превратила жизнь фермы в Канзасе в «цифровой» ад
- А при чём тут законы о ПДн? (или «Как 152-ФЗ зацементировал новую реальность»)
- L×Box: диагностика per-app трафика, посмотрим кто куда ходит
- [Перевод] Как Mozilla нашли 271 уязвимость в Firefox с помощью Claude Mythos
- Как НЕ провалить аудит смарт-контрактов?