Hamzisticcs/Wazuh-MicrosoftEdge-Monitor

# Wazuh Edge Profile 监控 ## 项目概述 本项目演示了如何使用 Wazuh 对 Microsoft Edge 配置文件进行实时监控。 它集成了 Windows Wazuh Agent 和 Kali Linux Wazuh Manager，针对文件修改、扩展程序变更和安全事件生成 SOC 风格的告警。 目标是展示如何调整 Wazuh 以检测浏览器数据中的敏感更改，将其与 Windows 安全事件关联，并为 SOC 环境提供可操作的情报。 ## 功能 - Edge *Default* 配置文件夹的文件完整性监控 (FIM)： - 书签、Cookie、历史记录、扩展程序、登录数据 - Windows 安全事件集成： - 密码更改、登录失败、服务登录 - 针对敏感修改的高危告警 - 针对潜在内部人员活动或恶意软件持久化的 SOC 风格关联 ## 文件结构 ``` /var/ossec/etc/ossec.conf Manager configuration /var/ossec/etc/rules/local_rules.xml /var/ossec/etc/sca/cis_win11_enterprise.yml C:\Program Files (x86)\ossec-agent\ossec.conf Windows agent config C:\Users\\AppData\Local\Microsoft\Edge\User Data\Default Monitored Edge profile ``` ## 配置步骤 ### 1. Syscheck (文件完整性监控) 在 Agent 上编辑 `ossec.conf`： ``` no 600 yes C:\Users\\AppData\Local\Microsoft\Edge\User Data\Default ``` 重启 Agent： ``` Restart-Service wazuh-agent ``` ### 2. 安全配置评估 (SCA) 分配 CIS Benchmark 策略： ``` cis_win11_enterprise.yml ``` 验证： ``` & "C:\Program Files (x86)\ossec-agent\wazuh-modulesd.exe" -d sca ``` ### 3. EventChannel 监控 启用 Windows Security 和 Application 日志： ``` eventchannel Security eventchannel Application ``` ## 验证和测试 - Syscheck 测试： Add-Content -Path "C:\Users\\AppData\Local\Microsoft\Edge\User Data\Default\Bookmarks" -Value "test change" & "C:\Program Files (x86)\ossec-agent\syscheck_control.exe" -u 002 预期告警：Integrity checksum changed。 - SCA 测试： 运行 CIS Benchmark 扫描并确认针对失败/不适用的检查项的告警。 - EventChannel 测试： 生成 Windows 登录事件或重启服务。 预期告警：Windows logon success 或 Software Protection service scheduled successfully。 ## 结果 - 告警可在 Kibana 中通过 `rule.groups: syscheck`、`sca` 和 `windows_eventchannel` 查看。 - 包含合规性映射（PCI DSS、HIPAA、NIST、MITRE ATT&CK）。 - 针对文件更改和系统事件的 SOC 风格可见性。 ## 结论 此设置演示了如何定制 Wazuh 以监控系统安全事件的同时监控浏览器配置文件数据。通过结合 FIM、SCA 和 EventChannel，分析师可以全面了解潜在的内部威胁、恶意软件持久化和配置错误——所有这些都映射到合规性框架和 MITRE ATT&CK 技术。

标签：Anthropic, CIS基准, DNS 反向解析, DNS 解析, EDR, Syscheck, Wazuh, Windows安全代理, x64dbg, 事件关联分析, 内部威胁检测, 安全运营中心, 安全配置评估, 微软Edge浏览器, 恶意软件持久化检测, 数据防泄露, 浏览器画像监控, 网络映射, 脆弱性评估, 越狱测试