sonalkr31/wazuh-suricata-soc-rpi5

# wazuh-suricata-soc-rpi5 在 Raspberry Pi 5 上手动部署、规则调优及构建 Wazuh SIEM 与 Suricata NIDS 技术栈的流水线工程。 # 🛡️ 自主边缘 SOC：Raspberry Pi 5 上的 Wazuh 与 Suricata     ## 📖 项目概述 本项目演示了在边缘计算设备上手动构建、部署及调优完整安全运营中心（SOC）技术栈的过程。通过将 Suricata (NIDS) 与分布式 Wazuh 架构集成，我构建了一个能够检测网络异常、实现数据标准化以及实时可视化威胁的流水线。 与自动化脚本安装不同，本项目采用逐个组件构建的方式，以深入理解 Linux 数据流、SIEM 规则逻辑以及安全的 API 通信机制。 ## 🏗️ 架构与核心组件 * **硬件：** Raspberry Pi 5 (8GB RAM)，作为单节点安全集群运行。 * **传感器 (NIDS)：** Suricata，配置为在网卡接口上进行深度包检测 (DPI)。 * **分析引擎 (SIEM)：** Wazuh（包括 Indexer、Manager 和 Dashboard）。 * **安全性：** 手动生成 SSL/TLS CA 证书，以确保障节点间通信的加密。 ## 🛠️ 工程挑战与技术解决方案 构建该技术栈需要解决操作系统、网络和应用层面的若干关键瓶颈问题。 ### 1. Linux 权限瓶颈（跨越鸿沟） * **问题：** Suricata 以 `root` 身份运行，并将日志写入 `/var/log/suricata/eve.json`。Wazuh 日志收集器服务（以 `wazuh` 用户身份运行）抛出 `Permission denied (13)` 错误，导致 SIEM 无法收集数据。 * **解决方案：** 通过修改 Linux ACL 和文件所有权，构建了一个安全桥梁，在不破坏 root 权限结构的前提下，授予 SIEM 只读访问权限。

标签：AMSI绕过, AWS, DNS 反向解析, DPI, GitHub Advanced Security, HTTP/HTTPS抓包, IP 地址批量处理, Linux系统管理, Metaprompt, NIDS, Raspberry Pi, Suricata, TLS/SSL, Wazuh, 入侵检测系统, 内存执行, 威胁检测, 安全加固, 安全数据湖, 安全运营中心, 容器化, 态势感知, 数据流水线, 文件权限管理, 深度包检测, 现代安全运营, 网络安全, 网络安全分析, 网络安全监控, 网络映射, 蜜罐/传感器, 规则调优, 边缘计算, 隐私保护, 驱动开发