Очень полезный анализатор логов, основан на SIGMA. Помимо прочего, умеет читать логи Auditd и Sysmon.
Подобные утилиты позволяют анализировать большие данные на конечных хостах за короткий промежуток времени, а экспорт утилиты можно встроить в какой-нибудь пайплайн. Также имеет графический интерфейс и сохраняет данные в JSON.
https://github.com/wagga40/Zircolite
Отправить комментарий