Пример импорта данных в Wazuh

Для установки, настройки Wazuh и подключения импорта данных из файла через rsyslog/Logstash используйте документацию производителя.

Для разбора события из CEF-файла необходимо создать декодер. Для каждого события требуется свой декодер.

Пример декодера для разбора события FAP_EV_LOGONS - вход в систему:

Wazuh

<!--

08/10/2022

Log Sample:

CEF:0|Foresight|Foresight Analytical Platform|9.8.10053|FAP_EV_LOGONS|AuditLog|Unknown|act=Вход в систему cs1Label=MetabaseId cs1=MB_DEF rt=Aug 11 2022 11:25:01 outcome=Success shost=WKSTATION suser=name.surname cs2Label=PlatformUser cs2=ADMIN cs3Label=IPAddresses cs3=192.168.176.1;172.26.224.1;192.168.141.1;192.168.217.1;172.17.32.1;10.9.43.44 msg=Версия платформы: 9.8.10053.0 D Master x64 Настольное приложение

-->

 

<decoder name= "fap-cef-logon">

  <prematch>CEF:0\|Foresight\|Foresight Analytical Platform\|\d+.\d+.\d+\|FAP_EV_LOGONS\|AuditLog\|Unknown\|</prematch>

</decoder>

 

<decoder name="fap-cef-logon-fields">

  <parent>fap-cef-logon</parent>

  <regex>act=(\.+) cs1Label=(\.+) cs1=(\.+) rt=(\.+) outcome=(\.+) shost=(\.+) suser=(\.+) cs2Label=(\.+) cs2=(\.+) cs3Label=(\.+) cs3=(\.+) msg=(\.*)</regex>

  <order>audit.act, audit.cs1Label, audit.cs1, audit.rt, audit.outcome, audit.shost, audit.suser, audit.cs2Label, audit.cs2, audit.cs3Label, audit.cs3, audit.msg</order>

</decoder>

Для разбора других событий, необходимо написать декодеры аналогично примеру.

См. также:

Поддержка работы с системами управления событиями безопасности