Wazuh FIM: Полное руководство по настройке.Часть 2.Whodata Linux
Привет, безопасники! В этом видео мы углубляемся в модуль whodata в File Integrity Monitoring (FIM) Wazuh. Я расскажу, что такое whodata, почему он лучше других режимов, и подробно разберу настройку на Linux. Что внутри: Введение в whodata: реальное время + аудит (кто, когда, как изменил файлы). Audit mode: требования (auditd, плагины), конфигурация в ossec.conf, примеры правил, алерты с полями (user, effective_user, process). eBPF mode: преимущества (быстрее, без auditd), требования (kernel 5.8+), настройка с queue_size, fallback на audit. Примеры: мониторинг /etc/ssh/sshd_config, визуализация алертов в дашборде. Это must-have для compliance (PCI DSS, HIPAA) и расследований инцидентов. Подходит системным админам, DevOps и специалистам по безопасности. Ежедневные новости по кибербезопасности и статьи про Wazuh: https://t.me/pensecfort_daily Русское комьюнити Wazuh: https://t.me/wazuhrussian Ссылки на документацию: Whodata: https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/advanced-settings.html#who-data-monitoring-on-linux Whodata linux audit mode: https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/advanced-settings.html#the-audit-mode Whodata linux ebpf mode: https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/advanced-settings.html#the-ebpf-mode
Привет, безопасники! В этом видео мы углубляемся в модуль whodata в File Integrity Monitoring (FIM) Wazuh. Я расскажу, что такое whodata, почему он лучше других режимов, и подробно разберу настройку на Linux. Что внутри: Введение в whodata: реальное время + аудит (кто, когда, как изменил файлы). Audit mode: требования (auditd, плагины), конфигурация в ossec.conf, примеры правил, алерты с полями (user, effective_user, process). eBPF mode: преимущества (быстрее, без auditd), требования (kernel 5.8+), настройка с queue_size, fallback на audit. Примеры: мониторинг /etc/ssh/sshd_config, визуализация алертов в дашборде. Это must-have для compliance (PCI DSS, HIPAA) и расследований инцидентов. Подходит системным админам, DevOps и специалистам по безопасности. Ежедневные новости по кибербезопасности и статьи про Wazuh: https://t.me/pensecfort_daily Русское комьюнити Wazuh: https://t.me/wazuhrussian Ссылки на документацию: Whodata: https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/advanced-settings.html#who-data-monitoring-on-linux Whodata linux audit mode: https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/advanced-settings.html#the-audit-mode Whodata linux ebpf mode: https://documentation.wazuh.com/current/user-manual/capabilities/file-integrity/advanced-settings.html#the-ebpf-mode