yasirhamza/wazuh-firewalla
GitHub: yasirhamza/wazuh-firewalla
将 Firewalla 网络安全设备与 Wazuh SIEM 打通,提供开箱即用的集中式安全监控、威胁情报关联和可视化告警能力。
Stars: 0 | Forks: 0
# Firewalla-Wazuh SIEM 集成
将您的 [Firewalla](https://firewalla.com) 网络安全设备与 [Wazuh](https://wazuh.com) SIEM 集成,实现集中式安全监控、威胁情报关联和自定义告警。
## 功能特性
- **MSP API 集成** - 轮询 Firewalla MSP API 获取警报、流量和设备清单
- **威胁情报** - 自动与 Feodo Tracker 和 ThreatFox C2 数据源进行关联
- **自定义检测规则** - 包含 40 多条针对 Firewalla 事件的 Wazuh 规则,并附带 MITRE ATT&CK 映射
- **安全仪表盘** - 预构建的 OpenSearch 仪表盘,提供网络可视性
- **存储转发** - 对容器宕机具有弹性,支持 30 天的 MSP API 数据保留
## 快速开始
```
# Clone 仓库
git clone https://github.com/yasirhamza/wazuh-firewalla.git
cd wazuh-firewalla
# 配置 credentials
cp .env.example .env
nano .env # Set your passwords and MSP token
# Generate SSL certificates
docker compose -f generate-certs.yml run --rm generator
# 启动 stack
docker compose up -d
# 等待约 2 分钟,然后访问 dashboard
# https://localhost:443
# Username: admin
# Password: (.env 中的 INDEXER_PASSWORD)
```
## 架构
```
┌─────────────────┐ ┌──────────────────┐ ┌─────────────────┐
│ Firewalla MSP │────▶│ msp-poller │────▶│ Wazuh Manager │
│ API │ │ (sidecar) │ │ + Filebeat │
└─────────────────┘ └──────────────────┘ └────────┬────────┘
│
┌─────────────────┐ ┌──────────────────┐ ┌────────▼────────┐
│ Threat Feeds │────▶│ threat-intel │────▶│ Wazuh Indexer │
│ (Feodo/ThreatFox) │ (sidecar) │ │ (OpenSearch) │
└─────────────────┘ └──────────────────┘ └────────┬────────┘
│
┌────────▼────────┐
│ Wazuh Dashboard │
│ (port 443) │
└─────────────────┘
```
## 检测规则
| 规则 ID 范围 | 类别 | 描述 |
|---------------|----------|-------------|
| 100200-100299 | 警报 | Firewalla 安全警报(新设备、端口扫描、欺骗攻击) |
| 100300-100399 | 设备 | 设备清单变更 |
| 100400-100449 | 流量 | 网络流量分析(已拦截、高带宽) |
| 100450-100499 | 威胁情报 | C2 IP 关联匹配 |
| 100500-100504 | Sidecar | 轮询器健康监控 |
## 环境要求
- Docker Engine 20.10+
- Docker Compose v2
- 最低 4GB 内存 (RAM)
- Firewalla MSP 账户(用于 API 访问)
## 文档
- [SETUP.md](SETUP.md) - 详细的安装和配置指南
- [CHANGELOG.md](CHANGELOG.md) - 版本历史
- [CONTRIBUTING.md](CONTRIBUTING.md) - 开发指南
## 许可证
MIT 许可证 - 详见 [LICENSE](LICENSE)。
## 致谢
- [Wazuh](https://wazuh.com) - 开源安全平台
- [Firewalla](https://firewalla.com) - 网络安全设备
- [abuse.ch](https://abuse.ch) - 威胁情报数据源
标签:API集成, C2服务器检测, Cloudflare, Docker, Docker Compose, Feodo Tracker, Firewalla, IP 地址批量处理, MITRE ATT&CK, MSP API, OISF, ThreatFox, Wazuh, Windows SRP监控, 事件关联分析, 可观测性, 威胁情报, 安全仪表盘, 安全信息与事件管理, 安全告警, 安全防御评估, 容器化部署, 开发者工具, 搜索引擎爬取, 搜索语句(dork), 日志管理, 版权保护, 端点安全, 网络信息收集, 网络安全, 补丁管理, 请求拦截, 软件限制策略, 隐私保护