Представим ситуацию. Вы хотите выстроить процесс реагирования на ИБ‑инциденты в компании. Для этого нужно вовремя фиксировать атаки на вашу инфраструктуру. Вы решаете собирать логи и мониторить все, до чего можете дотянуться: хосты, межсетевые экраны, антивирусы, пользовательские устройства. Логов много, они разные. В таком объеме данных сложно вычленить что‑то полезное даже самому опытному ИБ‑специалисту. А вам нужно, чтобы в нем могли разобраться дежурные администраторы (первая линия техподдержки), которые знают только базу, но зато на посту 24 на 7. Они должны фиксировать аномалии, реагировать на типовые угрозы по регламенту, а сложные кейсы дальше передавать профильным ИБ‑инженерам для купирования и расследования атак.

Именно с такой задачей мы имели дело, когда решили выстроить такую систему реагирования на ИБ‑угрозы в нашем облаке NGcloud. Меня зовут Иван, я занимаюсь защитой облачной инфраструктуры. Сегодня я расскажу, как мы организовали все вышеперечисленное при помощи Wazuh.

Почему выбрали Wazuh?