Серия “Статический анализ Wazuh”:
- Часть 1: Декодеры - валидация XML-декодеров
- Часть 2: Правила (вы здесь) - валидация правил и кросс-типовая проверка
В первой части мы создали линтер для XML-декодеров Wazuh - инструмент, который проверяет структуру, согласованность regex/order и цепочки родительских декодеров. Но декодеры - только половина конвейера обработки событий. Декодеры извлекают поля из сырых логов, а правила решают, что с этими полями делать: генерировать алерт, повысить уровень угрозы или запустить автоматический ответ. Ошибка в правиле - пропущенный алерт или ложное срабатывание - может быть опаснее ошибки в декодере.
[Далее]