Коллеги, приветствую!
Я и мои коллеги сейчас настраиваем ElasticSearch + X-Pack для работы в качестве сборщика логов для событий информационной безопасности (что-то вроде обрезанного SIEM). Настраиваем для двух систем - AD и Exchange.
Проблема в том, что количество различных кодов ошибок и сообщений просто невероятное, и для каждого из них нужно провести классификацию и описание, чтобы потом можно было работать с итоговыми данными в отчетах.
Насколько я понимаю, в дорогих системах типа HP ArcSight изначально защито описание всех этих кодов, и есть готовые политики по мониторингу и обраружению угроз.
Возможно, кто-либо уже сталкивался с этой проблемой - может быть есть уже готовые для загрузки в Elastic конфиги, в которых описаны все эти коды ошибок и сообщений AD, Exchange? Или возможно где-то есть инструкции, как автоматизировать процесс подготовки таких конфигов?
Всем заранее спасибо!