mnv1851/soc-ssh-bruteforce-detection-wazuh

# 完整 SOC 调查实验：使用 Wazuh 进行 SSH 暴力破解检测 完整的攻击生命周期 SOC 实验室：模拟 SSH 暴力破解攻击，使用自定义 Bash 脚本进行端点日志分析，利用 Wazuh SIEM 进行检测和告警，包含调查工作流、MITRE ATT&CK 映射以及事件响应文档。 ## 执行摘要 - 本项目演示了在受控 SOC 实验室环境中对 SSH 暴力破解攻击的完整攻击生命周期模拟与检测。 - 目标是模拟真实攻击，使用基于 Bash 的自定义检测逻辑和 Wazuh SIEM 进行检测，执行日志分析，将活动映射到 MITRE ATT&CK，并生成正式的事件报告。 - 该实验室复现了 SOC 分析师在企业环境中处理基于身份验证攻击的方式。 ⸻ ## 实验室架构 - 攻击机：Kali Linux - 靶机：Ubuntu Server (已安装 Wazuh Agent) - SIEM 平台：Wazuh Manager & Dashboard - 网络：隔离的 VirtualBox 实验环境 ## 流程： 攻击者 (Hydra) → Ubuntu 靶机 (SSH 服务) → Wazuh Agent → Wazuh Manager → Dashboard 调查 ⸻ ## 攻击场景 - 使用 Hydra 针对 Ubuntu 靶机模拟了 SSH 暴力破解攻击。 - 攻击者尝试了数千种密码组合，针对 SSH 服务 (端口 22)。 - 在多次身份验证失败后，生成了成功登录以模拟账户失陷。 ⸻ ## 检测机制 1. 基于 Bash 的手动检测 开发了自定义脚本以： - 检测过多的 SSH 登录失败尝试 - 识别潜在的暴力破解模式 - 突出显示可疑 IP 地址 - 在本地记录安全告警 脚本可在 [scripts](./scripts) 目录中找到。 ⸻ 2. Wazuh SIEM 检测 Wazuh 检测到了： - 多次失败的身份验证尝试 - 无效用户登录尝试 - 暴力破解活动后的成功 SSH 身份验证 - 使用 sudo 的权限提升 调查是通过以下方式进行的： - agent.name 过滤 - SSH 日志查询 - Accepted password 事件搜索 - 规则等级分析 - 源 IP 活动关联 ⸻ ## MITRE ATT&CK 映射 | 阶段 | 技术 | ID | |------------------|--------------------|-----------| | Initial Access | Brute Force | T1110 | |Persistence |Create Account | T1136| |Privilege Escalation| Abuse Elevation Control Mechanism| T1548| |Credential Access |Valid Accounts |T1078| |Discovery |Account Discovery |T1087| ## 调查要点 - 1.识别出执行重复身份验证尝试的源 IP - 2.观察到 “Failed password” 日志激增 - 3.关联攻击活动的时间线 - 4.确认成功登录事件 - 5.追踪认证后的 sudo 活动 - 6.验证 Wazuh 中的规则触发和告警级别 ⸻ ## 展示的技能 - 1.攻击模拟 (Hydra SSH 暴力破解) - 2.日志分析 (Linux 身份验证日志) - 3.用于检测自动化的 Bash 脚本编写 - 4.SIEM 调查 (Wazuh) - 5.告警调优与规则分析 - 6.MITRE ATT&CK 映射 - 7.事件报告 - 8.SOC 工作流文档 ⸻ ## 项目结构 - [1. 攻击模拟](./1-attack-simulation) - [2. 检测工程](./2-detection-engineering) - [3. 手动日志分析](./3-manual-log-analysis) - [4. 事件报告](./4-incident-report) - [screenshots](./screenshots) - [scripts](./scripts) ## 成果 本项目展示了实践性的 SOC Level 1 能力，包括在模拟的企业安全环境中进行检测验证、事件关联、事件调查和报告。 从攻击执行到调查和文档记录的整个生命周期均独立完成。

标签：AMSI绕过, BurpSuite集成, Cloudflare, Hydra, Linux服务器, MITRE ATT&CK, SIEM配置, SOC实验室, SSH暴力破解, Wazuh SIEM, 威胁检测, 安全实验环境, 安全报告, 安全运营中心, 应用安全, 端点安全, 网络安全, 网络映射, 蜜罐与攻防, 补丁管理, 身份验证攻击, 隐私保护