- Транспорт: HTTPS на Wazuh API, формат событий CEF, авторизация — Bearer-токен.
- Точка настройки в UI: «Настройки → SIEM».
- В SIEM передаются:
- факты компрометации паролей (успешный подбор DCC2 / NTLM);
- результаты массовой верификации (AD / IMAP / 1С);
- события USB-журнала (подключение/отключение, нарушение политики);
- расхождения между снапшотами синхронизации AD.
- Обратный канал: SIEM → AD Analytics через REST для обогащения карточки
пользователя ссылкой на дашборд Wazuh с предфильтром по sAMAccountName.
Подробнее — SIEM и DLP.
- Транспорт: REST, JSON, авторизация — токен.
- На стороне AD Analytics — модуль
dlp_stakhanovets, модели DLPEvent,
DLPRule, DLPVerdict (миграция применена).
- Привязка событий к карточке пользователя AD по SID и транслитерации ФИО
(как и связка 1С ↔ AD).
- Категории, поступающие в AD Analytics:
- отправка файлов на внешние носители;
- печать документов «ДСП»;
- отправка вложений на внешние ящики;
- активность в нерабочее время.
- События дублируются в SIEM для сквозной корреляции.
- HTTP auth через
/hs/, проверка через e1cib/users.
- Привязка 1С → AD по транслитерации ФИО (case-insensitive).
- IMAP: проверка пар логин:пароль (массово и точечно), ручное добавление учёток.
- SMTP: e-mail уведомления о событиях.
Changelog
- 2026-04-30 — изначальная версия (claude/DEP816)