Представьте, что ваш сервер — это средневековая крепость. У неё есть несколько ключевых элементов, от которых зависит безопасность всех обитателей:
Ворота (/etc/ssh/sshd_config) — настройки удалённого доступа.
Ключи от сокровищницы (/etc/shadow) — хэши паролей всех пользователей.
Список жителей (/etc/passwd) — учётные записи, которые могут войти в систему.
Права командиров (/etc/sudoers) — кто может выполнять команды с максимальными привилегиями.
Привет, я Devops-инженер в сфере ЖКХ, нами пользуется сейчас больше 8 000 юрлиц. У нас большой парк машин (более двух сотен), и вручную создавать правила и CDB-списки для каждого агента Wazuh и поддерживать их — просто очень сложно. Поэтому мы автоматизировали генерацию пер-агентных списков и правил и их доставку в Wazuh Manager.
Под "пер-агентными" далее я имею в виду:
CDB-списки и правила, уникальные для конкретного Wazuh-агента;
управляемые централизованно с менеджера;
но логически привязанные к одному хосту.
Привет, защитники! 🚨 На канале Pensecfort я начал цикл про создание алертов в Wazuh, и в этой статье, мы разберём декодеры — ключевой компонент для обработки логов. Вы узнаете, как они работают, какие поля использовать и как выбрать правильный <type> для логов. Это подробное руководство для тех, кто хочет настроить Wazuh под свои задачи!
Декодеры в Wazuh — это XML-описания, которые парсят сырые логи от агентов или устройств и извлекают структурированные данные: IP-адреса, пользователей, действия и т.д. Без декодеров Wazuh не поймёт, что, например, лог:
Читать полностью »