https://blog.pytoshka.me/ru/tags/rules/Recent content in Rules on Блог pyToshka по DevSecOpsHugoru-RUping@pytoshka.me (pyToshka)ping@pytoshka.me (pyToshka)Wed, 15 Apr 2026 10:36:10 +0400https://blog.pytoshka.me/ru/post/wazuh-static-analysis-rules/Sat, 28 Mar 2026 00:00:00 +0000ping@pytoshka.me (pyToshka)https://blog.pytoshka.me/ru/post/wazuh-static-analysis-rules/<p><strong>Серия &ldquo;Статический анализ Wazuh&rdquo;:</strong></p> <ul> <li><a href="https://blog.pytoshka.me/ru/post/wazuh-static-analysis-decoders/">Часть 1: Декодеры</a> - валидация XML-декодеров</li> <li><strong>Часть 2: Правила</strong> (вы здесь) - валидация правил и кросс-типовая проверка</li> </ul> <p>В <a href="https://blog.pytoshka.me/ru/post/wazuh-static-analysis-decoders/">первой части</a> мы создали линтер для XML-декодеров Wazuh - инструмент, который проверяет структуру, согласованность regex/order и цепочки родительских декодеров. Но декодеры - только половина конвейера обработки событий. Декодеры извлекают поля из сырых логов, а правила решают, что с этими полями делать: генерировать алерт, повысить уровень угрозы или запустить автоматический ответ. Ошибка в правиле - пропущенный алерт или ложное срабатывание - может быть опаснее ошибки в декодере.</p>