Vlákno názorů k článku Wazuh: nástroj pro správu informací o událostech a zabezpečení (SIEM) od Shimano - Osobně využívám Wazuh jako součást Security Onion. O...

Osobně využívám Wazuh jako součást Security Onion. O tom by mohl být třeba příští članek nu?

Souhlasím, o tom bys článek mohl napsat

mně Security Onion připadá jako divnost, to nastavení a deployment služeb je udělaný divně, raději si to spravuji sám, resp. nástroji, které se již používají, ne každému vyhovuje salt.

Chápu ale, že někomu all stack může vyhovat, jak se to celkově používá?

Člověk to nasadí na VM (nebo nainstaluje přímo systém z jejich ISO) a prostě to funguje. Deployment je pro uživatele jednoduchý - prostě to funguje. Nicméně z toho technického pohledu je to celkem komplexní - běží to na Dockeru a skládá se to z mnoha komponent.
Součástí toho Security Onion je konzole - webová aplikace - kde se vše spravuje. Člověk tam vidí alerty, které může povýšít na case (incident) a může to na někoho zadat. Neumí to automaticky zasílat notifikace, takže jsem musel tohle dodělat ručně. Všechny ty alerty jsou v Elastic Searchi, takže jsem použil elastalert a notifikace mi to posílá na Mattermost. To byla asi ta nejsložitější část, jinak je to celkem user-friendly.