Как я приручил Wazuh: от сотен ложных срабатываний к рабочему набору правил

09.06.2026 07:25:22 | Хабр

Хабы: Блог компании Cloud4Y, Информационная безопасность, Системное администрирование, Серверное администрирование, DevOps

Wazuh – это open-source SIEM, который собирает логи, детектирует подозрительную активность и умеет на неё реагировать. Инструмент хороший, но дефолтный набор правил – как швейцарский нож: вроде и режет, и открывает, а под конкретную задачу всё равно приходится подтачивать. Он рассчитан на «среднюю» инфраструктуру и без адаптации генерирует много шума.

Моя задача сводилась к тому, чтобы отделить этот шум от значимых событий, не потеряв при этом сами атаки. В этой статье – методология и грабли, на которые я наступил. Будет полезно тем, кто настраивает Wazuh впервые, и тем, кто хочет разгрузить аналитиков от потока ложных тревог.

Подробнее

Читайте также

Как мы встроили React в 20-летний Ruby-монолит, сделали Канбан и ушли в Open Core. Релиз Redmarc v0.5 Beta
09.06.2026 07:01:05 | Хабр

Как восстановили автоматизацию в доме 500 м²: от неработающего проекта к рабочей системе
09.06.2026 07:01:04 | Хабр

Project Firefly: как Intel собирается выпускать хорошие ноутбуки дешевле 600 долларов
09.06.2026 07:01:03 | Хабр

«М̶н̶е̶ п̶р̶о̶с̶т̶о̶ н̶е̶ н̶р̶а̶в̶и̶т̶с̶я̶». Как оценить дизайн, если ты не дизайнер: пошаговая инструкция
09.06.2026 07:01:03 | Хабр

Black-box тесты на Java: функциональные тесты за секунды и в параллель и почему я остался на своих
09.06.2026 07:01:00 | Хабр

Юнит-экономика B2B SaaS с длинным циклом: как считать CAC, когда сделка тянется месяцами
09.06.2026 06:51:22 | Хабр

Чем выше статус, тем хуже мы считываем людей — и тем увереннее в обратном
09.06.2026 06:51:22 | Хабр

RecyclerView. Оптимизация Adapter
09.06.2026 06:43:57 | Хабр

Chrome-расширение для Upwork: архитектура, метрики и опыт разработки с помощью ИИ
09.06.2026 06:42:47 | Хабр

Чего на самом деле хотят интеграторы, чтобы продавать вендоров? Интервью с Марией Бар-Бирюковой, КОРУС Консалтинг
09.06.2026 06:35:56 | Хабр

[Перевод] Пишем движок для JavaScript с нуля
09.06.2026 06:00:38 | Хабр

Я не хотел, чтобы WeTransfer читал мои файлы, и написал хранилище, которое не доверяет само себе
09.06.2026 05:47:31 | Хабр

Бесплатный AI-агент для компьютера, приложение для поиска команды для игр – и еще 8 российских стартапов
09.06.2026 05:45:29 | Хабр

Grace-период: что происходит с подпиской после неудачного платежа
09.06.2026 05:36:26 | Хабр

Минутка кринжа или как я мультики генерил
09.06.2026 05:30:23 | Хабр

Anti-corruption Layer на C#: три шва на проекте миграции с Rails
09.06.2026 02:50:05 | Хабр

Иллюзия легких денег: почему американский API не быстрее активов, торгуемых на Московской бирже
09.06.2026 00:24:54 | Хабр

Фото: космическая Axiom Space и Prada представили костюм для лунной миссии, который надевается под скафандр
08.06.2026 22:36:37 | vc.ru

Как устроен ГИГАХРУЩ: клеточный мир, WebGL-рейкастер и A-Life без движка
08.06.2026 22:29:52 | Хабр

VR-шлемы Meta Quest 3* отправятся на МКС
08.06.2026 22:28:32 | ferra.ru

REDB: индексы, или почему на любую схему — это быстро
08.06.2026 21:22:44 | Хабр

OBTF + AI -> WTF? (новаястарая система личной продуктивности)
08.06.2026 20:35:59 | Хабр

Видеокарты Nvidia GeForce RTX 50xx SUPER не появятся раньше 2027 года
08.06.2026 20:28:28 | ferra.ru

Конечный автомат инкрементного энкодера
08.06.2026 20:06:31 | Хабр

Роскомнадзор обсуждает создание единого «ГосVPN» под нужды российских разработчиков — The Bell
08.06.2026 19:58:57 | vc.ru

AI B2B SaaS с нуля: что стоит между MVP и продуктом
08.06.2026 19:38:08 | Хабр

C++101
08.06.2026 19:36:23 | Хабр

Паттерн экономии токенов в Claude Code на правке файлов
08.06.2026 19:35:36 | Хабр

[Перевод] Структурированная разработка на основе промптов
08.06.2026 19:16:55 | Хабр

Экономическая безопасность и ИИ
08.06.2026 18:49:56 | Хабр

Neurotopia: может ли ИИ помочь талантам находить свою аудиторию?
08.06.2026 18:33:31 | Хабр

Чемпионку «Ролан Гаррос» Мирра Андреева заметили на корте в HUAWEI FreeClip 2
08.06.2026 18:28:25 | ferra.ru

Анализ САУ гребной дизель-электрической установки
08.06.2026 17:55:34 | Хабр

А вам точно нужна видимость в нейровыдаче поисковых систем?
08.06.2026 17:50:14 | Хабр

Киберстрахование. Как защитить бизнес от хакеров и не остаться с убытками
08.06.2026 17:50:00 | it-world

Смотреть все

НОВОСТИ

В Екатеринбурге бывшего военного приговорили к пожизненному за двойное убийство
09.06.2026 12:40:34 | Коммерсантъ

Наёмники под ударом: Армия России «обнулила» планы ВСУ в 142 точках
09.06.2026 12:39:38 | Life.ru

В России в 2025 году 400 подростков участвовали в террористических преступлениях
09.06.2026 12:38:40 | ТАСС

Новый год без рабочей суеты: В России хотят навсегда сделать 31 декабря выходным
09.06.2026 12:38:19 | Life.ru

Суд отменил решение о банкротстве бывшего владельца банка «Югра»
09.06.2026 12:37:33 | Коммерсантъ

Заочный приговор скульптору Тилли за оскорбление чувств верующих оставили в силе
09.06.2026 12:36:44 | ТАСС

Доллар на Украине побил исторический рекорд
09.06.2026 12:35:57 | Lenta.ru

В Пензенской области нашли череп II-IV вв. со следами стоматологической операции
09.06.2026 12:35:40 | ТАСС

В Ленобласти подросток утонул в озере
09.06.2026 12:35:29 | ТАСС

Мигранты в Петербурге прыгали из окон, спасаясь от полиции
09.06.2026 12:35:21 | Life.ru

Новый сезон "Мажора" с Прилучным выйдет 4 июля
09.06.2026 12:35:08 | ТАСС

Четыре человека погибли при пожаре у Финляндского вокзала в Петербурге
09.06.2026 12:35:01 | Life.ru

Врач оценила степень влияния питания на состояние кожи
09.06.2026 12:33:56 | Lenta.ru

«Добровольное» заточение и пытки: Сбежавший пациент обвинил подмосковный рехаб «Мост надежды» в побоях
09.06.2026 12:33:23 | Life.ru

Минстрой: сроки реализации самых крупных проектов КРТ в России достигают 25 лет
09.06.2026 12:33:15 | ТАСС

Премьер Венгрии станет в два раза беднее
09.06.2026 12:32:50 | Lenta.ru

В КЧР на поддержку участников СВО и их семей направили 4,8 млрд рублей
09.06.2026 12:32:35 | ТАСС

Партнер России потратит почти 300 миллиардов долларов на развитие ИИ
09.06.2026 12:32:27 | Lenta.ru

ВС РФ поразили объекты транспортной и энергетической инфраструктуры, используемые ВСУ
09.06.2026 12:32:23 | ТАСС

В ЕР готовят законопроект о списании кредитов защитникам приграничья
09.06.2026 12:31:33 | ТАСС

Дмитриев: немцы устали от неудачных попыток исправить политику властей
09.06.2026 12:31:29 | ТАСС

Хинштейн: постоянные атаки ВСУ мешают восстановлению курского приграничья
09.06.2026 12:30:52 | ТАСС

Даже не упомянули в завещании: Юрист объяснил, как пенсионер может получить часть наследства
09.06.2026 12:30:18 | Life.ru

Силы ПВО РФ за сутки сбили 551 украинский беспилотник
09.06.2026 12:30:14 | ТАСС

Глава ФСБ России назвал новые данные о числе террористических преступлений
09.06.2026 12:29:00 | Lenta.ru

«Какой позор»: Во Франции высмеяли присутствии армии Зеленского на параде в Париже
09.06.2026 12:28:59 | Life.ru

ЦБ: инвесторы-нерезиденты будут постепенно заходить в инвестиции на крипторынок
09.06.2026 12:28:53 | ТАСС

Стало известно о смерти россиянки при атаке ВСУ на многоквартирный дом
09.06.2026 12:28:45 | Lenta.ru

В СНГ предотвратили 2,5 тысячи террористических преступлений в 2025 году
09.06.2026 12:28:43 | Lenta.ru

Блок "Армения" намерен обжаловать итоги выборов в Конституционном суде
09.06.2026 12:27:39 | ТАСС

Титов указал на рост доверия в КНР к торгово-экономическим отношениям с Россией
09.06.2026 12:26:42 | ТАСС

Поезда в Крым вернулись к обычному расписанию после задержек из-за БПЛА
09.06.2026 12:26:40 | Life.ru

Водителей проинструктировали на случай столкновения с шаровой молнией
09.06.2026 12:26:24 | Lenta.ru

В КБР начальницу почты подозревают в хищении 1,2 млн рублей
09.06.2026 12:25:56 | ТАСС

«Даже если тебя съели, есть два выхода»: Психолог объяснила, как быть, если ребёнок провалил ЕГЭ
09.06.2026 12:25:52 | Life.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro