В предыдущей статье мы встроили локальную модель Ollama прямо в чат Wazuh Dashboard через ML Commons. Этот подход обеспечивает полный контроль над данными без облачных зависимостей. В этой серии мы пойдём параллельным путём: будем использовать AWS Bedrock — конкретно Claude Sonnet 4.5 — как бэкенд для инференса, при этом все данные безопасности остаются строго внутри локальной Docker-сети.
[Далее]
Рад сообщить, что меня приняли в программу AWS Community Builders в когорту 2026 года в категории Security. Для меня это естественное продолжение пути, который начался с получения статуса Wazuh Ambassador - ещё одна веха в карьере, которая всегда была сосредоточена вокруг open-source безопасности и облачной инфраструктуры.
[Далее]XML-файлы декодеров Wazuh определяют, как необработанные строки логов преобразуются в структурированные события безопасности. Ошибка в конфигурации декодера - отсутствующий элемент <order>, ссылка на несуществующий родительский декодер или несоответствие количества групп захвата в regex - может привести к тому, что критически важные поля будут молча отброшены из алертов, создавая слепые зоны в вашем SIEM-конвейере. Ручная проверка кода выявляет некоторые из этих проблем, но не масштабируется на сотни файлов декодеров, поставляемых с Wazuh или поддерживаемых вашей организацией.
Интеграция локальных языковых моделей непосредственно в интерфейс Wazuh открывает принципиально новые возможности для команд информационной безопасности. В отличие от облачных AI-решений, Ollama позволяет выполнять анализ событий безопасности полностью в изолированной инфраструктуре организации, исключая передачу конфиденциальных данных за периметр сети. Встраивание AI-ассистента в дашборд Wazuh обеспечивает аналитикам SOC мгновенный доступ к интеллектуальной интерпретации алертов, автоматическую корреляцию инцидентов и генерацию рекомендаций по реагированию непосредственно в контексте рабочего процесса. Такой подход существенно сокращает время на первичный анализ угроз и снижает когнитивную нагрузку на специалистов, позволяя им сосредоточиться на принятии стратегических решений вместо рутинной обработки событий. При этом полный контроль над моделью и данными остается внутри организации, что критически важно для соответствия требованиям регуляторов и внутренним политикам безопасности.
[Далее]Рад сообщить, что я официально присоединился к программе Wazuh Ambassador. Это важная веха в моем пути в сфере open-source безопасности, и для меня большая честь представлять и вносить вклад в платформу, которая стала центральной частью моей профессиональной деятельности.
Мой путь в области host-based intrusion detection начался задолго до появления Wazuh — с OSSEC, его предшественника. Когда Wazuh появился как форк и начал развиваться в комплексную платформу безопасности, которой он является сегодня, я перешел вместе с ним. Это было более 10 лет назад, и с тех пор Wazuh является неотъемлемой частью моей работы над инфраструктурой безопасности.
[Далее]Давайте честно: анализировать тысячи событий безопасности каждый день — это не самое увлекательное занятие.
[Далее]В мире кибербезопасности специалисты SOC ежедневно сталкиваются с огромным потоком событий безопасности. Анализ каждого алерта требует глубоких знаний, опыта и времени. Именно поэтому я создал специализированную языковую модель, которая может помочь аналитикам безопасности в их повседневной работе.
[Далее]Представьте себе: вы анализируете логи безопасности и видите тысячи событий в день. Какие из них реально опасны? Какие можно проигнорировать? Традиционные методы обнаружения на основе сигнатур уже не справляются с современным потоком угроз — злоумышленники научились их обходить быстрее, чем мы успеваем их обновлять.
[Далее]Навигация в мире соответствия может ощущаться как попытка прочесть карту на незнакомом языке. Когда вы добавляете Kubernetes в эту смесь, становится еще сложнее. Поэтому мы собрали этот понятный, дружелюбный чеклист, чтобы помочь вам подготовить кластеры Amazon EKS к аудиту SOC 2 Type II.
Воспринимайте это не как жесткий набор правил, а как дружественное руководство. Мы проведем вас через то, что нужно делать, почему это важно и как это сделать, без всего этого плотного технического жаргона. Независимо от того, только начинаете ли вы свое путешествие SOC 2 или являетесь опытным профессионалом, желающим оставаться в курсе, это руководство для вас.
[Далее]Продолжаем рассмотрение других контролей для EKS SOC Type 2.
Выявлять, оценивать и документировать риски безопасности, операционные и связанные с соответствием требованиям риски, специфичные для кластеров и рабочих нагрузок Amazon EKS, чтобы обеспечить внедрение, мониторинг и улучшение соответствующих контролей в соответствии с критериями доверительных служб SOC 2.
[Далее]