Препарируем Wazuh: активно противодействуем угрозам

Системы класса SIEM традиционно используются для сбора событий ИБ с источников и выявления подозрительных активностей в этих событиях. Однако, системы SIEM можно также использовать в качестве ядра для комплекса автоматического реагирования на выявленные угрозы. По сути, мы получаем некий аналог Intrusion Prevention System. В качестве нашего рабочего инструмента у нас традиционно будет Wazuh. В предыдущих статьях мы уже рассмотрели написание правил нормализации и корреляции для данного SIEM, и теперь мы можем смело подключить любой источник, в котором есть журналы событий и написать любые правила корреляции.
В качестве подозрительной активности, которую нам надо предотвратить мы рассмотрим атаку на веб ресурс. Вот лишь несколько примеров таких активностей на веб сайтах.

Читать далее

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Поговорим о планировании внедрения DevSecOps
• Реверс — это сканворд. Как я впервые нормально понял Ghidra
• Хайстекс Акура 4.5: Свобода миграции без API, нативный бэкап PostgreSQL и защита от шифровальщиков на уровне S3
• Разработка под Kubernetes: локально всё работает, в проде — нет. Кейс с Tetragon и eBPF
• Налоги, Telegram и абсурд происходящего
• Как стать автором патента на изобретение и получить его за 2,5 месяца
• Сеть, в которой живут агенты: кто нажал Enter и как это проверить
• Не только про производительность — как балансировщик нагрузки обеспечивает отказоустойчивость
• Инсайдер в системе: как аппаратная блокировка перезаписи защищает данные от собственных сотрудников
• ИИ против ИИ: кто победит в кибербезопасности