Документация
Документация Wazuh 4.14 - руководство по SIEM/XDR
Разработка и API Wazuh 4.14 - справочник

Разработка и API Wazuh 4.14 - справочник

Wazuh 4.14 предоставляет развитый набор инструментов для разработчиков: REST API для программного управления платформой, механизм пользовательских интеграций через integratord, скрипты Active Response для автоматического реагирования и wodle-модули для расширения функциональности агентов. Этот раздел охватывает все аспекты разработки для платформы Wazuh.

Содержание раздела

Справочник REST API

Полный справочник API-эндпоинтов Wazuh 4.14, сгруппированных по категориям: управление агентами, сервером, кластером, правилами, декодерами, SCA, уязвимостями и системной инвентаризацией. Включает примеры аутентификации, пагинации, фильтрации и обработки ошибок, а также примеры использования Python SDK.

Разработка пользовательских интеграций

Руководство по созданию собственных интеграций: формат JSON-входа integratord, скрипты Active Response на Bash и Python, пользовательские wodle-модули, webhook-приемники и примеры обработки алертов. Включает готовые шаблоны для типовых сценариев.

Инструменты разработчика

Wazuh предоставляет несколько инструментов для разработки и отладки:

ИнструментНазначениеРасположение
wazuh-logtestТестирование декодеров и правил/var/ossec/bin/wazuh-logtest
wazuh-controlУправление сервисами Wazuh/var/ossec/bin/wazuh-control
REST APIПрограммный доступ к платформеhttps://<manager>:55000
Python SDKКлиентская библиотека для APIpip install wazuh-api
Integration scriptsСкрипты интеграций/var/ossec/integrations/
Active Response scriptsСкрипты реагирования/var/ossec/active-response/bin/

Архитектура расширений 

                    ┌─────────────────────┐
                    │   Wazuh Manager     │
                    │                     │
┌──────────┐       │  ┌───────────────┐  │       ┌──────────────┐
│ REST API │◀─────▶│  │  Engine       │  │──────▶│ integratord  │──▶ External
│ Client   │       │  │  (Rules/      │  │       │ (Push alerts)│    Systems
└──────────┘       │  │   Decoders)   │  │       └──────────────┘
                    │  └───────┬───────┘  │
                    │          │          │       ┌──────────────┐
                    │          ▼          │──────▶│ Active       │──▶ Agent
                    │  ┌───────────────┐  │       │ Response     │    Actions
                    │  │  Alert Queue  │  │       └──────────────┘
                    │  └───────────────┘  │
                    └─────────────────────┘

Для начала работы с API рекомендуется изучить раздел Справочник REST API . Для создания собственных модулей и скриптов - раздел Разработка пользовательских интеграций .

Описание встроенных интеграций с внешними платформами доступно в разделе Интеграции .

Last updated on