enzoromeiro/wazuh-dashboard-rules

# 🛡️ Wazuh SIEM：终端与身份可见性 本项目专注于两个关键的安全层： 谁访问了？（身份验证审计：登录和入侵尝试）。 做了什么？（命令审计：通过 Linux 上的 Auditd 监控，以捕获敏感命令的执行，例如：adduser、chmod、chown、whoami 等）。 这些层的结合实现了身份关联，通过自定义仪表板将技术日志转化为清晰的信息，从而协助 SOC 做出决策。 ### -实时威胁检测： 创建自定义规则（.xml），以针对网络侦察命令、用户创建与删除、文件权限更改等行为发出警报。 ### -关联仪表板： 集中式面板，关联谁（用户）、在哪里（Agent）以及做了什么（输入的命令）。 可视化身份验证失败与成功登录的对比，以识别暴力破解攻击。 ### 🛠️ -使用的技术 Wazuh SIEM 虚拟机：Linux (Ubuntu) & Windows 10 (攻击者) Putty Auditd 自定义 XML 规则 ### 📂 如何复制 环境：导入虚拟机（Ubuntu 用作 Manager/Agent，Windows 用作攻击者）。 Linux Agent：安装 auditd (sudo apt install auditd)，在 /etc/audit/rules.d/ 目录下创建一个文件，并在您创建的文件中添加监控规则。在我的案例中，我将其命名为 auditsoc.rules。该文件夹中已有一个名为 "audit.rules" 的文件，但不要将您的规则添加到那里，因为它是临时的。默认情况下，我使用了 Florian Roth (https://github.com/neo23x0/auditd) 的规则，但在本项目中，我创建了一个通过 syscall execve 监控文件执行的规则。 #### 创建的文件：  #### 规则： #### -a exit, always -F arch=b64 -S execve -k audit-wazuh-c  Wazuh 配置：在 Agent 的 ossec.conf 文件中，启用审计日志读取：/var/log/audit/audit.log。  自定义规则：将此仓库 /wrules 目录中的 .xml 文件复制到您 Manager 的 /var/ossec/etc/rules/local_rules.xml 文件中。我创建的 100004 规则是为了消除一个频繁发生但级别较低的事件的噪音（可选）。  ### 📊 -检测流程示例 事件 1：一个 IP 在一段间隔的时间内多次尝试通过 SSH 进行身份验证，以避免被暴力破解规则检测到。正如下方仪表板中所示，在“SSH 身份验证错误最多的 IP”中，将显示错误最多的前 5 个 IP，无论它是激进的暴力破解还是旨在绕过检测规则的间隔式攻击。而在“SSH 身份验证错误 IP 表（源和目标）”中，我们可以观察到尝试访问的 IP 来源和目标用户。  事件 2：该 IP 通过 SSH 成功登录且未触发警报，但在仪表板中很容易注意到，产生最多身份验证错误的同一个 IP (192.168.1.16) 进行了一次成功登录，这可以在“SSH 成功身份验证时间线”和“通过 SSH 登录的 IP 表（源和目标）”中观察到。综合以上信息，至此我们得到了一个可能是外部且可疑的 IP，或者在本实验室案例中，是一个执行了可疑操作并成功登录的内部 IP。  事件 3：身份验证后立即输入了敏感命令，下方的仪表板显示了输入的命令以及输入该命令的用户，这可以在“Agent 输入的敏感命令时间线”和“Agent 输入的敏感命令表”中看到。在这个阶段，很明显攻击者在登录后对网络进行了侦察，并试图添加新用户以维持持久性，这被归类为后渗透阶段的危险信号。 仪表板的配置允许多种过滤器以促进对这些事件的可视化，因为与实验室不同，在真实场景中存在更多的噪音、IP 以及正在被监控的机器等。  #### 最终考量：孤立的事件并不总是意味着什么，但可疑事件的关联可能预示着一起安全事件。 #### 信息安全领域没有绝对的终极解决方案，世界在发展，攻击者使用的方法论在发展，工具在发展，归根结底，维护信息安全的三要素（CIA）是任何渴望发展的企业不可避免且持续的工作。

标签：AMSI绕过, Auditd, Florian Roth, FOFA, Linux审计, meg, OISF, PFX证书, PoC, Wazuh, 仪表盘, 信息安全, 命令行审计, 威胁检测, 安全可视化, 安全运营中心, 攻击检测, 攻击模拟, 敏感命令监控, 日志关联, 日志管理, 暴力破解, 红队行动, 终端安全, 网络安全, 网络映射, 身份关联, 隐私保护, 驱动签名利用