Препарируем Wazuh. Часть 2: Подключаем источники
В первой статье мы начали рассмотрение решения с открытым кодом Wazuh. Мы развернули систему в конфигурации All In One, то есть все компоненты находятся на одном узле. В этой статье мы продолжим настройку нашего SIEM. Конечно, после установки он уже не совсем бесполезен, так как он собирает события из операционной системы, на которой развернут, поэтому если вы зашли в консоль и увидели какие-то алерты то в общем это нормально, так как события уже собираются, прав ила корреляции отрабатывают и алерты создаются. Но при промышленном использовании нам естественно необходимо подключать другие узлы в качестве источников событий. Этим мы сегодня и займемся.
Источники из коробки
Один из параметров, которым любят мериться разработчики коммерческих SIEM это количество источников, поддерживаемых из коробки. Поддержка из коробки означает, что SIEM “знает” данный тип источников. То есть, в инструкции по подключению источника уже есть описание определенного набора действий на источнике событий, а также на сборщике событий со стороны SIEM, выполнив которые вы начнете получать события с этого источника в нормализованном виде, то есть в консоли SIEM эти события уже будут разобраны по полям.
Естественно, разработчики полагают, что чем больше источников из коробки поддерживает их SIEM тем лучше. Хотя на практике заказчику гораздо важнее, чтобы поддерживались именно те источники, которые есть в его инфраструктуре.
В случае, если источник не поддерживается из коробки, то нам необходимо будет самостоятельно обучить SIEM разбирать сырые логи нашего приложения.
Читать далееИсточник: Хабрахабр
