Привет. Меня зовут Андрей Урывко, я инженер ИБ в Всеинструменты.ру.
За несколько месяцев эксплуатации Wazuh мы упёрлись в классическую для небольших отделов мониторинга проблему: рост числа алертов при отсутствии ресурсов на их обработку. При 150–200 оповещениях в день и одном инженере в штате значительная часть времени уходила на ручную проверку однотипных сработок, а развитие инфраструктуры фактически остановилось.
В этой статье я расскажу, как мы перешли с Wazuh на R-Vision SIEM, а затем построили цепочку автоматизации обработки алертов с использованием IRIS (case management), Cortex, MISP и n8n.
