faridvh/Wazuh-Web-Attack-Detection

# Wazuh Web 攻击检测自定义规则工程 使用 Wazuh 实施基于 SIEM 的检测环境，通过自定义规则工程监控 DVWA 中的 Web 漏洞并发出警报 🏗️ 实验架构 基础架构托管在隔离的 VirtualBox 内部网络中，以确保攻击模拟环境的安全： 目标服务器：托管 DVWA 的 Ubuntu Server（Apache2, PHP, MySQL）。 SIEM 平台：运行 Wazuh Manager 的 Ubuntu Server，用于集中式日志收集和分析。 攻击机：Kali Linux，用于执行各种 Web 攻击向量。 网络：完全隔离的环境，防止外部流量干扰。 🛠️ 关键技术实施 日志摄取：通过 Wazuh Agent 将 Apache2 Web 服务器日志集成到 Wazuh Manager 中，实现集中可见性。 检测工程：开发定制的 XML 解码器和规则，专门用于检测 SQL Injection (SQLi)、Cross-Site Scripting (XSS) 和 Brute Force 攻击。 事件分析：配置 Wazuh Dashboard 以实现实时警报和事件可视化，促进快速响应。 📁 仓库结构 /rules：包含项目期间开发的自定义 XML 规则集和解码器。 /docs：包含网络拓扑图和模拟期间触发的 Wazuh 警报截图。

标签：Apache日志, CISA项目, DOE合作, DVWA, HTTP/HTTPS抓包, IP 地址批量处理, OPA, PoC, SQL注入检测, VirtualBox, Wazuh, Web安全, XSS检测, 安全仪表盘, 安全实验环境, 安全运营, 态势感知, 扫描框架, 攻击模拟, 日志解码器, 时间线生成, 暴力破解, 红队行动, 网络安全审计, 自定义规则, 蓝队分析, 规则工程, 靶场, 驱动签名利用