mynameisizhan/Wazuh_SIEM

# 🛡️ Wazuh_SIEM - 适用于团队的清晰安全监控 [](https://github.com/mynameisizhan/Wazuh_SIEM/releases) ## 📌 这是什么 Wazuh_SIEM 是一套开箱即用的安全监控配置，专为希望在自身系统或实验室环境中开始使用 SIEM 的 Windows 用户打造。 它集成了： - Wazuh SIEM 规则和配置 - VirusTotal 和 MISP 威胁情报检查 - OPNsense 和 MikroTik 监控 - 自动化主动响应措施 - 用于 SOC 使用的 Telegram 告警 - 自定义解码器和规则 - Docker syslog 收集器 - MITRE ATT&CK 映射 - 可导入的仪表板 本项目专为希望获得实用安全架构，又不想从零开始搭建每个组件的用户而设计。 ## 🖥️ 您需要什么 在开始之前，请确保您的 Windows PC 具备以下条件： - Windows 10 或 Windows 11 - 互联网访问权限 - 至少 8 GB 内存 - 20 GB 可用磁盘空间 - 管理员权限 - 如果计划运行 syslog 收集器，需已安装 Docker Desktop - 用于打开发布页面的浏览器 为获得最佳效果，请使用一台可以在监控期间保持开机的设备。 ## ⬇️ 下载文件 访问此页面下载最新版本： [https://github.com/mynameisizhan/Wazuh_SIEM/releases](https://github.com/mynameisizhan/Wazuh_SIEM/releases) 在该页面上，找到最新版本并下载适合您配置的文件。如果是 ZIP 文件，请先下载并解压缩。如果是安装程序或软件包，请使用对应的文件。 ## 🚀 在 Windows 上开始使用 请按顺序执行以下步骤。 ### 1. 打开发布页面 在浏览器中打开下载链接： [https://github.com/mynameisizhan/Wazuh_SIEM/releases](https://github.com/mynameisizhan/Wazuh_SIEM/releases) 找到页面顶部的最新版本。 ### 2. 下载发布文件 从最新版本中下载文件。 如果该版本包含 ZIP 压缩包： - 将其保存到您的 Downloads 文件夹 - 右键单击该文件 - 选择“全部解压缩” - 选择一个容易再次找到的文件夹，例如 `C:\Wazuh_SIEM` 如果该版本包含安装文件，请直接下载并将其保存在同一个文件夹中。 ### 3. 安装基础工具 如果您想使用 Docker syslog 收集器，请先安装 Docker Desktop。 如果您的配置需要使用 Wazuh Manager、仪表板或 agent 组件，请按照发布包中的文件顺序依次进行安装。 请保持解压后的文件夹处于打开状态，以便逐个执行安装文件。 ### 4. 启动 syslog 收集器 如果软件包中包含 Docker 文件，请从解压后的项目文件夹中启动收集器。 典型步骤： - 打开 Docker Desktop - 确保 Docker 正在运行 - 打开包含 Docker 文件的文件夹 - 启动发布包中包含的容器集 此收集器用于接收来自防火墙和路由器等设备的 syslog 数据。 ### 5. 连接您的设备 添加您的网络设备，以便它们能将日志发送到收集器。 此配置中的常见设备： - OPNsense 防火墙 - MikroTik 路由器 - Windows 计算机 - 其他兼容 syslog 的设备 将每台设备设置为将日志发送到运行收集器的计算机的 IP 地址。 ### 6. 导入仪表板 如果该版本包含仪表板文件，请将其导入到您的 Wazuh 或仪表板界面中。 请使用与您安装的版本相匹配的文件。导入后，打开仪表板并检查数据是否正常显示。 预制的仪表板可以帮助您查看： - 告警 - 主机活动 - 防火墙事件 - 威胁情报匹配 - 响应措施 - MITRE ATT&CK 映射 ### 7. 设置 Telegram 告警 如果软件包包含 Telegram 告警设置，请填入您的 bot token 和 chat ID。 这允许 Wazuh 在发生安全事件时向您的 Telegram 频道或聊天发送告警。 典型用途： - 高优先级告警 - 检测命中 - 主动响应事件 - 设备状态更改 ### 8. 添加 VirusTotal 和 MISP 如果您计划使用威胁情报，请在发布包的配置文件中输入您的 VirusTotal API 密钥和 MISP 详情。 这些服务有助于将哈希值、IP 和指标与已知威胁进行匹配。 设置完成后，请使用一个已知样本事件进行测试，并检查告警中是否包含威胁情报数据。 ### 9. 启用主动响应 主动响应允许系统对特定事件做出反应。 本项目可能包含以下操作： - 封禁 IP - 隔离主机 - 运行自定义脚本 - 触发告警流程 使用发布包中的文件来启用您想要的响应规则。建议先从一两个简单的操作开始。 ### 10. 测试配置 设置完成后，发送一个测试事件并检查每个环节： - 日志到达收集器 - Wazuh 接收到该事件 - 仪表板显示该事件 - Telegram 接收到告警 - 威胁情报字段显示 - 主动响应按预期运行 如果某个部分不工作，请检查配置文件和设备日志设置。 ## 🧭 文件布局 发布包可能包含以下类似文件夹： - `docker/` 用于 syslog 收集器 - `rules/` 用于自定义检测规则 - `decoders/` 用于日志解析 - `dashboards/` 用于导入文件 - `active-response/` 用于响应脚本 - `integrations/` 用于 VirusTotal、MISP 和 Telegram - `docs/` 用于设置说明 请保持文件夹名称不变。许多配置文件依赖于相应的路径。 ## 🔍 项目能检测什么 此配置旨在帮助您发现常见的安全事件，例如： - 登录失败尝试 - 可疑防火墙流量 - 端口扫描 - 自定义解码器的规则匹配 - 已知的恶意哈希值或 IP - 来自 VirusTotal 或 MISP 的威胁情报命中 - 来自 OPNsense 和 MikroTik 的设备事件 - 暴力破解活动的迹象 - 与 MITRE ATT&CK 战术相关的告警 ## 📱 Telegram 告警流程 当规则匹配时，Wazuh 可以向 Telegram 发送消息。 一条典型的告警可能包含： - 事件发生时间 - 设备名称 - 规则名称 - 严重程度 - 源 IP - 目标 IP - 威胁情报匹配 - 已执行的响应措施 这有助于您无需每次都打开仪表板即可检查事件。 ## 🧩 MITRE ATT&CK 映射 包含的规则可以将事件映射到 MITRE ATT&CK 技术。 这使您更容易看清某个事件是如何融入已知攻击路径的。 您可能会看到以下映射： - 初始访问 - 执行 - 持久化 - 权限提升 - 防御规避 - 发现 - 横向移动 - 命令与控制 - 数据渗出 ## 🛠️ 常见设置检查 如果某项功能不工作，请检查以下项目： - Docker 正在运行 - 收集器端口已开放 - 您的防火墙允许 syslog 流量通过 - 每台设备上都设置了正确的 IP 地址 - API 密钥或 bot token 输入正确 - 导入的仪表板文件与您的版本匹配 - 配置文件位于正确的文件夹中 ## 📁 建议的 Windows 文件夹设置 为简单起见，请使用一个主文件夹，例如： - `C:\Wazuh_SIEM` 在该文件夹中，保留： - 解压后的发布文件 - 所有仪表板导出文件 - 您做的所有笔记 - 所有配置备份 简单的文件夹布局会使后续的设置更容易跟进。 ## 🔐 安全说明 本项目用于在受信任的环境中进行监控和响应。 请为所有 Web 面板设置安全的密码。 将 API 密钥保密。 将 bot token 存放在安全的地方。 如果您要分享配置文件，请先移除其中的私密信息。 ## 📚 实用的用例 您可以将 Wazuh_SIEM 用于： - 家庭实验室安全监控 - 小型办公室 SOC 使用 - 防火墙日志集中化 - 威胁情报检查 - 通过 Telegram 发送告警 - 主动响应测试 - 检测规则开发 - 基于 MITRE ATT&CK 的告警审查 ## 🧪 首次测试清单 设置完成后，请检查以下项目： - 发布文件已下载 - ZIP 文件已解压 - Docker 启动无错误 - 日志到达收集器 - Wazuh 显示新事件 - Telegram 收到测试告警 - 仪表板打开并显示数据 - 威胁情报字段显示值 - 主动响应在测试事件上运行 ## 📄 下一步 首次测试成功后，您可以： - 添加更多设备 - 调整规则严重性 - 添加更多自定义解码器 - 扩展威胁情报检查 - 导入更多仪表板 - 调优主动响应措施 - 按 MITRE ATT&CK 分组审查告警 ## 🔗 再次下载 如果您需要再次访问发布页面，请使用此链接： [https://github.com/mynameisizhan/Wazuh_SIEM/releases](https://github.com/mynameisizhan/Wazuh_SIEM/releases)

标签：AMSI绕过, Ask搜索, ATT&CK映射, CISA项目, Cloudflare, Docker, GitHub Advanced Security, MikroTik, MITRE ATT&CK, OPNsense, Syslog收集器, Telegram告警, VirusTotal, Wazuh, Windows环境, 主动响应, 仪表盘, 企业安全, 威胁情报, 威胁检测, 安全加固, 安全实验室, 安全运营中心, 安全防御评估, 库, 应急响应, 开发者工具, 无线安全, 日志收集, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 自动化响应, 自定义规则, 自定义解码器, 请求拦截, 速率限制处理, 防火墙日志, 隐私保护