Uhong-Yan/Threat-Hunting-Wazuh-Suricata

# 威脅情資分析與數據導向威脅獵捕實務 (Threat Hunting & IDS Implementation) 本專案實作了一個基於 **Wazuh** 與 **Suricata** 的入侵偵測與威脅獵捕監控系統。透過在 **Oracle VM VirtualBox** 建立雙網卡中繼架構，實作自訂 IDS 規則與 SIEM 告警關聯，達成對網路掃描、惡意下載指令及系統異常行為的精確監控。 ## 專案演示與文檔 詳細記錄了實驗環境的網路拓樸、自訂偵測規則的編寫邏輯以及實際攻擊測試紀錄： * **[實驗完整報告 (PDF)](Threat_Hunting_Implementation_Report.pdf)** ## 實驗環境與網路架構 依據實作架構圖，本實驗環境部署於 **Oracle VM VirtualBox**，區分為兩個主要網段： * **Gateway 節點 (Ubuntu)**： - 作為流量轉發中心，具備雙網卡。 - **Adapter 1 (NAT 模式)**：`enp0s3` (10.0.2.15)，負責與外部網路溝通。 - **Adapter 2 (Host-only 模式)**：`enp0s8` (10.0.3.1)，作為內網閘道。 - **IDS 部署**：在 `enp0s8` 介面啟動 **Suricata**，監控所有來自內網的流量。 * **Analysis 節點 (Wazuh Server)**： - IP: `10.0.2.20` (位於 10.0.2.0/24 網段)。 - 負責接收來自各端的日誌並進行威脅獵捕分析。 * **Endpoint 節點 (Windows 11)**： - IP: `10.0.3.40` (位於 10.0.3.0/24 內網段)。 - 安裝 Wazuh Agent，模擬企業內網受保護的主機。 ## 核心技術實作 ### 1. 入侵偵測系統 (IDS) 自訂規則 * **Nmap 偵察偵測**： - 針對 `TCP SYN` 掃描編寫規則。 - **規則代碼**： `alert tcp any any -> $HOME_NET any (msg:"[4125701821] Nmap TCP Port Scan Detected"; flags:S; sid:4125701821; rev:1;)` - **實證**：當 Windows 11 對 Gateway (10.0.3.1) 掃描時，成功觸發告警並連動至 Wazuh。 ### 2. SIEM 平台整合與告警 * **Wazuh Rules**：自訂 XML 規則過濾 SID `4125701821`，將 Suricata 偵測到的網路層威脅提升至 SIEM 管理平台進行視覺化呈現。 ### 3. 數據導向威脅獵捕 * **惡意指令獵捕**：識別 PowerShell 事件 ID 4104，偵測 `Invoke-Expression` 與 `curl.exe` 下載惡意檔案之行為。 ## 技術棧 * **虛擬化平台**：Oracle VM VirtualBox * **監控/分析工具**：Wazuh (SIEM/XDR), Suricata (IDS), Nmap * **系統環境**：Ubuntu Linux, Windows 11 * **語言/腳本**：Suricata Rules, XML, PowerShell *註：本專案為個人實驗成果紀錄，所有攻擊測試均在封閉虛擬化實驗網段中進行。*

标签：AI合规, asyncio, ATT&CK 框架, CTI, IP 地址批量处理, JSON, Metaprompt, Nmap 扫描检测, OpenCanary, PowerShell 恶意指令, Suricata, Threat Hunting, Wazuh, Windows 11, XML 配置, 入侵检测系统, 入侵防御, 入侵防御系统, 威胁猎捕, 安全情报, 安全数据湖, 安全运营, 实验环境搭建, 扫描框架, 插件系统, 现代安全运营, 网络安全, 虚机环境, 规则编写, 隐私保护