Препарируем Wazuh. Часть 4: правила корреляции / Комментарии / Хабр

Скажите, а правила пишутся именно ручками текстом с этими всеми тэгами, или есть некий конструктор? (хотя как например в qradar).

Можно ли писать правила которые учитывают последовательность событий, в том числе и сработку других SIEM правил. events sequence, event after another sequences, event in some event scope и т.п.

Можно ли обогощать событие внешними данными?

Как устроен процесс отладки правил? Есть ли профайлер по которому можно оценить "тяжесть" правила.