Automation

Серия “Статический анализ Wazuh”:

• Часть 1: Декодеры - валидация XML-декодеров
• Часть 2: Правила (вы здесь) - валидация правил и кросс-типовая проверка

В первой части мы создали линтер для XML-декодеров Wazuh - инструмент, который проверяет структуру, согласованность regex/order и цепочки родительских декодеров. Но декодеры - только половина конвейера обработки событий. Декодеры извлекают поля из сырых логов, а правила решают, что с этими полями делать: генерировать алерт, повысить уровень угрозы или запустить автоматический ответ. Ошибка в правиле - пропущенный алерт или ложное срабатывание - может быть опаснее ошибки в декодере.

Введение

В Части 1 мы подключили AWS Bedrock Claude к чату Wazuh Dashboard через ML Commons. Этот путь отлично подходит для аналитиков, работающих внутри Wazuh UI. В этой части мы открываем второй канал: Model Context Protocol (MCP), который позволяет любому совместимому клиенту - Claude Desktop, пользовательским приложениям, CI-пайплайнам - обращаться к данным Wazuh Indexer через стандартизированный интерфейс инструментов.

Введение

В предыдущей статье мы встроили локальную модель Ollama прямо в чат Wazuh Dashboard через ML Commons. Этот подход обеспечивает полный контроль над данными без облачных зависимостей. В этой серии мы пойдём параллельным путём: будем использовать AWS Bedrock - конкретно Claude Sonnet 4.5 - как бэкенд для инференса, при этом все данные безопасности остаются строго внутри локальной Docker-сети.

Серия “Статический анализ Wazuh”:

• Часть 1: Декодеры (вы здесь) - валидация XML-декодеров
• Часть 2: Правила - валидация правил и кросс-типовая проверка

XML-файлы декодеров Wazuh определяют, как необработанные строки логов преобразуются в структурированные события безопасности. Ошибка в конфигурации декодера - отсутствующий элемент <order>, ссылка на несуществующий родительский декодер или несоответствие количества групп захвата в regex - может привести к тому, что критически важные поля будут молча отброшены из алертов, создавая слепые зоны в вашем SIEM-конвейере. Ручная проверка кода выявляет некоторые из этих проблем, но не масштабируется на сотни файлов декодеров, поставляемых с Wazuh или поддерживаемых вашей организацией.

Когда SOC-аналитик не справляется (или просто устал)

Давайте честно: анализировать тысячи событий безопасности каждый день - это не самое увлекательное занятие.

Введение в Wazuh LLM: Зачем нужна специализация в анализе безопасности

В мире кибербезопасности специалисты SOC ежедневно сталкиваются с огромным потоком событий безопасности. Анализ каждого алерта требует глубоких знаний, опыта и времени. Именно поэтому я создал специализированную языковую модель, которая может помочь аналитикам безопасности в их повседневной работе.

Продолжение серии: Интеграция кластера Wazuh с Ollama - Часть 4. Настройка и внедрение

В прошлой части мы рассмотрели основные принципы создания интеграций. Теперь настало время объединить все элементы и завершить интеграцию Wazuh с Ollama.

Wazuh и Ollama: Часть 3. Создание интеграции вашего кластера Wazuh с Ollama

Wazuh предоставляет огромные и почти бесконечные возможноности по интеграции с различными система, даже если какого-то функционала не хватает вы всегда можете написать свой.

Wazuh и Ollama: Часть 2. Разворачивание кластера Wazuh

В первой части мы установили и настроили Ollama для локального запуска больших языковых моделей. Теперь пришло время настроить Wazuh, который мы будем интегрировать с Ollama.

Введение

Добро пожаловать в первую часть нашего гайда по улучшению Wazuh с помощью Ollama!