Uso ELK per prelevare, archiviare e analizzare i registri. Mi piacerebbe automatizzare un po 'il processo di ricerca con strumenti come Etsy's 411.
Sono a conoscenza delle regole di yara e così via, ma è un po 'troppo focalizzata sul malware. Esiste un insieme di regole pubblicamente disponibili per ricerche / firme da cercare nei log di Windows / Linux?
Per esempio mi piacerebbe cercare più collegamenti di root in un certo periodo di tempo, per password fallite e così via. C'è una sorta di cose condivise "da non dimenticare"?