Heute schauen wir uns die Tag-Wolke als Visualisierung an, kombiniert mit einer Suchabfrage für unsere kürzlich veröffentlichten Wazuh Rules für ntopng: Wazuh-Regeln und -Decoder für ntopng veröffentlicht
Wir loggen uns in Wazuh ein, wechseln zu Threat Hunting und bauen uns einen Search-String:
Den Search-String speichern und dann im Hauptmenü in die Visualisierungen:
Hier als neue Visualisierung die Tag Cloud wählen:
Als Quelle die wazuh-alerts-*
Im neuen Fenster zuerst den gespeicherten Search-String auswählen:
Aggregation ist Count, Bucket hinzufügen und Terms wählen, Field ist data.risk, Metric: Count und den Wert auf 10:
Jetzt ist die Tag-Cloud fertig und kann gespeichert und dem Dashboard hinzugefügt werden:
TLS Susp. Extension kommt relativ häuft vor, diesen Wert könnten man z.B. auch im Search-String ausklammern, damit er nicht das Ergebnis verfälscht.
Viel Spaß mit euren Dashboards!