xdanial/SIEM-Alerting-Monitoring-Bot
GitHub: xdanial/SIEM-Alerting-Monitoring-Bot
基于 Python 和 Discord.py 的轻量级安全告警机器人,将 Wazuh SIEM 的安全事件实时推送到 Discord 频道,支持威胁定位、硬件监控和远程日志审计。
Stars: 0 | Forks: 0
# SIEM-Alerting-Monitoring-Bot 🛡️
一个专业的实时安全监控系统,通过 **Discord** 桥接 **Wazuh (SIEM)** 环境,用于自动化事件响应和服务器遥测。
## 🚀 核心功能
- **实时安全告警:** 自动筛选高严重级别的 Wazuh 告警(级别 7-15)并直接发送到 Discord 频道。
- **威胁地理位置定位:** 集成外部 API,识别未授权 SSH 登录尝试和可疑活动的地理来源(国家/城市)。
- **硬件遥测:** 自定义命令,用于监控物理主机基础设施的实时 CPU、RAM 和磁盘健康状况。
- **远程日志调查:** 通过加密聊天界面直接从 Discord 审计安全事件和系统日志,减少直接 SSH 访问的需求。
## 🛠️ 技术栈
- **操作系统:** Ubuntu Server(部署在物理 HP 硬件上)。
- **SIEM 平台:** Wazuh(通过 Docker 容器编排)。
- **语言:** Python 3.x。
- **库:** Discord.py, Requests, Psutil。
- **工具:** Git/GitHub, Docker Compose, Linux CLI。
## 📋 已克服的技术挑战
- **Linux 权限管理:** 通过管理复杂的文件所有权(`chown`)和权限(`chmod`),在受限的 Docker 卷和本地 Python 进程之间实施安全的数据桥接。
- **弹性数据解析:** 开发了一套带有错误捕获协议的健壮 JSON 流处理系统,确保机器人在高日志写入周期期间仍能保持在线。
- **基础设施自动化:** 将机器人配置为持久的 `systemd` 服务,以确保 24/7 正常运行并在服务器重启后自动恢复。
## 🚀 安装与设置
### 1. 前置条件
* **Python 3.10+**
* 在同一主机上运行的 **Wazuh (Docker)** 实例。
* **Discord Bot Token**(已启用 Message Content Intent)。
### 2. 克隆并准备环境
```
# 克隆 repository
git clone [https://github.com/xdanial/SIEM-Alerting-Monitoring-Bot.git](https://github.com/xdanial/SIEM-Alerting-Monitoring-Bot.git)
cd SIEM-Alerting-Monitoring-Bot
# 创建并激活 virtual environment
python3 -m venv venv
source venv/bin/activate
# 安装 dependencies
pip install discord.py requests psutil
```
## 🚀 配置
编辑您的 `bot_ia.py` 文件,并使用您的特定凭据更新以下变量:
- `TOKEN`:您的 Discord Bot Token。
- `MI_DISCORD_ID`:您的个人 Discord 用户 ID。
- `ID_CANAL_ALERTAS`:用于发布告警的 Discord 频道 ID。
- `LOG_PATH`:您的 `alerts.json` 文件的本地路径(通常为 `/home/daniel/Daniel-IA/logs_wazuh/alerts.json`)。
## 🎮 用法
### 机器人命令
机器人通过 Discord 响应以下命令,帮助您监控基础设施:
(您可能需要修改 bot_ia.py 中的命令,因为我最初是用西班牙语编写的)
| 命令 | 描述 |
| :--- | :--- |
| `!system` | 显示实时硬件状态,包括主机服务器的 CPU、RAM 和磁盘使用情况。 |
| `!history` | 显示 Wazuh 日志中最近的 10 个安全事件和告警。 |
| `!status` | 检查机器人连接的当前健康状况以及被监控服务的状态。 |
### 作为后台服务运行
为了确保机器人在您的 Ubuntu 服务器上 24/7 运行,建议使用 **systemd**:
```
# 启动 service
sudo systemctl start daniel-ia
# 启用开机自启
sudo systemctl enable daniel-ia
```
标签:ChatOps, Discord机器人, Docker, HTTP工具, Linux系统管理, PE 加载器, Python, SOC工具, SSH安全, Systemd, Wazuh, 地理位置定位, 威胁情报, 字符串匹配, 安全防御评估, 开发者工具, 无后门, 无线安全, 服务器遥测, 漏洞发现, 硬件监控, 网络安全审计, 请求拦截, 逆向工具