Главная Блог Создание пользовательского дешборда Wazuh
Блог

Создание пользовательского дешборда Wazuh

Источник

Почему стоит настраивать дешборд?

Грамотно спроектированный дешборд не просто отображает данные – он упрощает процесс принятия решений. Благодаря индивидуальным визуализациям команды безопасности могут:

  • Сосредоточиться на критических оповещениях: выделять угрозы высокого приоритета и аномалии.
  • Ускорить время реагирования: обеспечить быстрый доступ к данным, требующим немедленных действий.
  • Оптимизировать рабочие процессы: уменьшить информационный шум и обеспечить четкий обзор ключевых метрик.

Необходимые условия

Прежде чем погрузиться в кастомизацию, нужно убедиться, что в наличии:

  • Функциональная среда Wazuh.
  • Журналы, поступающие из различных источников, таких как Linux, macOS, Windows или инструменты сетевого мониторинга, такие как Suricata.

Планирование дешборда

Прежде чем приступить к работе, нужно определить ключевые показатели эффективности (KPI). Некоторые полезные метрики включают:

  • Статус агента: Количество подключенных/отключенных агентов.
  • Тенденции угроз: Частота и типы оповещений с течением времени.
  • Аналитика по источнику: Специальные представления для журналов o365, SSH или Suricata.

Ниже приведены 3 пользовательских дешборда

1. Дешборд высокоприоритетных и критических оповещений

High & Critical Alerts Dashboard 1
High & Critical Alerts Dashboard 2

Этот дешборд фокусируется на оповещениях высокой и критической важности, требующих немедленного внимания. Он содержит следующие визуализированные элементы для обеспечения комплексного мониторинга:

  • EPS Count (индикатор): Этот индикатор визуализирует среднее количество событий в секунду (EPS). Он предоставляет обзор активности журнала в режиме реального времени, помогая определить базовую производительность и потенциальные аномалии.
  • Top 3 Agents by Log Count (круговая диаграмма): Выделяя три лучших агента с наибольшим количеством логов, эта диаграмма помогает определить потенциальные источники необычной активности во время скачков EPS.
  • Event – Location (столбчатая гистограмма): Эта визуализация классифицирует события по местоположению, предлагая ценный контекст для расследования всплесков EPS и отслеживания активности в конкретном регионе.
  • Disconnected & Active Agents (метрика): Быстрый статус подсчета отключенных и активных агентов, что помогает в оперативном мониторинге и обеспечении покрытия системы.
  • High Events и Critical Events (таблица данных): Отображает оповещения с уровнями правил, классифицированными как высокоприоритетные (10-12) и критические (13-15). Эта таблица гарантирует, что ни одно критическое оповещение не будет пропущено, а аналитики безопасности смогут быстро определить наиболее серьезные проблемы.
  • Successful Login: Non-Native (Critical) и O365 Successful Login: Non-Native (Critical) (таблица данных): Эти таблицы данных обозначают несвойственные входы. Они необходимы для обнаружения несанкционированного доступа через SSH и O365, помогая оперативно выявлять сценарии компрометации учетных записей.
  • Вкладка Discover: Эта вкладка предоставляет возможность погрузиться глубже в конкретные оповещения, облегчая целенаправленные расследования и позволяя точно фильтровать данные для детального анализа.

2. Дешборд событий SSH

SSH Events Dashboard

Этот дешборд сосредоточен на мониторинге событий, связанных с SSH, чтобы повысить безопасность и выявить потенциальные попытки несанкционированного доступа. Он содержит следующие визуализированные элементы для обеспечения комплексного надзора за SSH-активностью:

  • Login Attempts: Non-native GeoLocation (круговая диаграмма): Обнаруживает попытки входа с чужих геолокаций, подчеркивая потенциальные угрозы.
  • Successful Login: Non-Native (Critical) (таблица данных): Перечисляет события успешного входа в систему с чужих геолокаций, помогая быстро выявить компрометацию учетных записей.
  • Login Attempts: Top 10 Usernames (круговая диаграмма): Отображает наиболее часто атакованные имена пользователей, помогая выявить попытки брутфорс-атак.
  • Top IPs of Successful Logins (гистограмма): Выделяет IP-адреса, ответственные за успешные входы, предоставляя информацию о потенциально подозрительных источниках.
  • SSH Alerts (таблица данных): Консолидирует все оповещения, связанные с деятельностью по SSH, для централизованного мониторинга и эффективного реагирования на инциденты.

3. Обнаружение компрометации O365

O365 Compromise Detection 1
O365 Compromise Detection 2

Этот дешборд предназначен для выявления и расследования потенциальных компрометаций в средах O365. Он содержит следующие визуализированные элементы, чтобы предоставить четкое представление о действиях и оповещениях:

  • Event Timeline (вертикальная гистограмма): Отображает ключевые операции O365, такие, как UserLoggedIn, ModifyFolderPermissions и FileAccessed, на временной шкале, чтобы упростить анализ действий после компрометации.
  • O365 Triggered Alerts (таблица данных): Перечисляет все сработавшие оповещения для централизованного и эффективного мониторинга подозрительных действий.
  • Failed & Success Logon Details (таблица данных): Захватывает детали неудачных и успешных попыток входа, помогая идентифицировать несанкционированный доступ.
  • Вкладка Discover: Подсвечивает такие важные поля, как DeviceProperties.Value и ExtendedProperties.Value, которые необходимы для расследования несанкционированного доступа, осуществленного с помощью таких агентов, как Raccoon и Axios.

Таким образом, можно создавать собственные дешборды в соответствии с нужными сценариями использования.

Другие материалы по теме

data breach hacking and vulnerability cases 2025

Интересные кейсы утечек данных, взломов или уязвимостей за 2025 год

08.01.2026
Cybersecurity 2026

Кибербезопасность 2026: шесть прогнозов и план действий на грядущий год

05.12.2025
IBM Report 2025

Отчет IBM о стоимости утечки данных 2025

11.08.2025

Подписаться на новости

    Оставьте свои контакты, и мы с вами свяжемся