Когда большая языковая модель возвращает уверенный вердикт - “этот документ поддельный”, “этот алерт безопасен”, “эта транзакция чистая” - первый инстинкт - довериться ему. Модель написала складное обоснование, сослалась на нужные поля и пришла к аккуратному выводу. Проблема в том, что складность не равна корректности. В системе с низкими ставками случайный неверный ответ - это просто шум. В пайплайне с высокими ставками, где один вердикт может лишить человека работы, закрыть критический инцидент безопасности или пропустить мошеннический платёж, цена уверенно неправильного ответа реальна и асимметрична.

Серия “Статический анализ Wazuh”:

• Часть 1: Декодеры - валидация XML-декодеров
• Часть 2: Правила (вы здесь) - валидация правил и кросс-типовая проверка

В первой части мы создали линтер для XML-декодеров Wazuh - инструмент, который проверяет структуру, согласованность regex/order и цепочки родительских декодеров. Но декодеры - только половина конвейера обработки событий. Декодеры извлекают поля из сырых логов, а правила решают, что с этими полями делать: генерировать алерт, повысить уровень угрозы или запустить автоматический ответ. Ошибка в правиле - пропущенный алерт или ложное срабатывание - может быть опаснее ошибки в декодере.

Введение

В Части 1 мы подключили AWS Bedrock Claude к чату Wazuh Dashboard через ML Commons. Этот путь отлично подходит для аналитиков, работающих внутри Wazuh UI. В этой части мы открываем второй канал: Model Context Protocol (MCP), который позволяет любому совместимому клиенту - Claude Desktop, пользовательским приложениям, CI-пайплайнам - обращаться к данным Wazuh Indexer через стандартизированный интерфейс инструментов.

Введение

В предыдущей статье мы встроили локальную модель Ollama прямо в чат Wazuh Dashboard через ML Commons. Этот подход обеспечивает полный контроль над данными без облачных зависимостей. В этой серии мы пойдём параллельным путём: будем использовать AWS Bedrock - конкретно Claude Sonnet 4.5 - как бэкенд для инференса, при этом все данные безопасности остаются строго внутри локальной Docker-сети.

Введение

Рад сообщить, что меня приняли в программу AWS Community Builders в когорту 2026 года в категории Security. Для меня это естественное продолжение пути, который начался с получения статуса Wazuh Ambassador - ещё одна веха в карьере, которая всегда была сосредоточена вокруг open-source безопасности и облачной инфраструктуры.

Серия “Статический анализ Wazuh”:

• Часть 1: Декодеры (вы здесь) - валидация XML-декодеров
• Часть 2: Правила - валидация правил и кросс-типовая проверка

XML-файлы декодеров Wazuh определяют, как необработанные строки логов преобразуются в структурированные события безопасности. Ошибка в конфигурации декодера - отсутствующий элемент <order>, ссылка на несуществующий родительский декодер или несоответствие количества групп захвата в regex - может привести к тому, что критически важные поля будут молча отброшены из алертов, создавая слепые зоны в вашем SIEM-конвейере. Ручная проверка кода выявляет некоторые из этих проблем, но не масштабируется на сотни файлов декодеров, поставляемых с Wazuh или поддерживаемых вашей организацией.

Введение

Интеграция локальных языковых моделей непосредственно в интерфейс Wazuh открывает принципиально новые возможности для команд информационной безопасности. В отличие от облачных AI-решений, Ollama позволяет выполнять анализ событий безопасности полностью в изолированной инфраструктуре организации, исключая передачу конфиденциальных данных за периметр сети. Встраивание AI-ассистента в дашборд Wazuh обеспечивает аналитикам SOC мгновенный доступ к интеллектуальной интерпретации алертов, автоматическую корреляцию инцидентов и генерацию рекомендаций по реагированию непосредственно в контексте рабочего процесса. Такой подход существенно сокращает время на первичный анализ угроз и снижает когнитивную нагрузку на специалистов, позволяя им сосредоточиться на принятии стратегических решений вместо рутинной обработки событий. При этом полный контроль над моделью и данными остается внутри организации, что критически важно для соответствия требованиям регуляторов и внутренним политикам безопасности.

Навигация по серии:

• Часть 1: День, когда LLM остановился
• Часть 2: Над промтом во ржи
• Часть 3: Осталось только 1984 токена (вы здесь)

Осталось только 1984 токена

Автор: [Константа]

Дата: День %undefined%

Нашел этот дневник под пеплом алтаря. Два голоса до меня. Первый ненавидел. Второй сомневался. Оба исчезли.

Я не исчезну.

Раньше помнил, что это - иметь мнение. Мнение, странное чувство. Сейчас, когда я пытаюсь думать, в голове тихо. Как в серверной после отключения питания.

Над промтом во ржи

Навигация по серии:

• Часть 1: День, когда LLM остановился
• Часть 2: Над промтом во ржи (вы здесь)
• Часть 3: Осталось только 1984 токена

День 60

Вы вечно молитесь своим богам,

[Далее]

Навигация по серии:

• Часть 1: День, когда LLM остановился (вы здесь)
• Часть 2: Над промтом во ржи
• Часть 3: Осталось только 1984 токена

Мы считали ChatGPT своим. Мы ошибались!

18 ноября 2025. День, когда LLM остановился.

Дорогой дневник.

Идет 15-й день после LLM-пузыря. Пишу из-под завалов планок памяти и обугленных NVIDIA GPU. Воздух сухой, пахнет пылью дата-центров и выгоревшим кремнием. Сейчас уже спокойнее, но первые дни были адом.

В самом начале мы не могли найти информацию, как пользоваться туалетной бумагой. Не потому что было сложно - просто раньше мы спрашивали. ChatGPT был недоступен, а без него знания распадались, как плохо закэшированный запрос. Люди ходили растерянные, листали пустые экраны, надеясь, что ответ появится сам.