tanya-priya/wazuh-edr

# Wazuh-EDR: 端到端事件响应与取证实验室

SSH 暴力破解与权限提升的端到端检测

## 📌 项目概述 本项目模拟了真实的安全运营中心 (SOC) 场景。编排了一场多阶段攻击，从 **SSH 暴力破解** 演进至 **权限提升**，并通过 **Wazuh SIEM** 和 **Linux Auditd** 实现了对检测管道的全面可见性。 目标是展示安全遥测数据是如何被： - 生成 - 接入 - 关联 - 分析 ……以重建攻击者的足迹。 ## 🏗️ 实验室架构 部署了一个容器化的 Wazuh 生态系统，用于监控虚拟化的 Linux 端点。 ``` graph LR     A[socattackermachine] -- SSH Brute Force --> B[socvictimmachine]     B -- auth.log / auditd --> C[Wazuh Agent]     C -- Encrypted Telemetry --> D[Wazuh Manager/Indexer]     D -- Visualization --> E[Wazuh Dashboard] ``` ## 💻 环境详情 - **主机系统：** Ubuntu 24.04 LTS - **虚拟化：** KVM (virt-manager) - **SIEM 平台：** Wazuh (Docker v4.14.4) - **端点：** Ubuntu 24.04 (Wazuh Agent + Auditd) 🖥️ 基础设施与节点详情 | 实体 | 主机名 | 用户名 | IP 地址 | 角色 | |---|---|---|---|---| | Wazuh Manager | (主机) | (本地用户) | 192.168.122.1 | SIEM 控制器 (Docker v4.14.4) | | 受害节点 | socvictimmachine | soc_victim_machine | 192.168.122.22 | 目标端点 (Ubuntu 24.04.3) | | 攻击者节点 | socattackermachine | soc_attacker_machine | 192.168.122.242 | 攻击源 (Ubuntu 24.04.3) | ## ⚔️ 攻击模拟与阶段重建 ### 阶段 1：初始访问尝试 (模拟暴力破解) 执行了一系列重复的 SSH 身份验证尝试以模拟暴力破解行为： ``` for i in {1..10}; do ssh soc_victim_machine@192.168.122.22; done ``` - **结果：** 触发 Wazuh 规则 2502 (级别 10 - 身份验证失败) - **遥测来源：** `/var/log/auth.log` ### 阶段 2：初始访问 (身份验证成功) 在失败的尝试之后，从攻击机执行了一次有效的 SSH 登录： ``` ssh soc_victim_machine@192.168.122.22 ``` - **结果：** 记录成功登录 (密码已接受) - **遥测来源：** `/var/log/auth.log` ### 阶段 3：权限提升 获得访问权限后，使用 sudo 执行了权限提升： ``` sudo cat /etc/passwd ``` - **结果：** 触发 Wazuh 规则 5501 (PAM 会话已开启) - **遥测来源：** `/var/log/auth.log` ### 阶段 4：基于主机的监控 (Auditd) 为捕获敏感文件访问，配置了一条审计规则： ``` sudo auditctl -w /etc/passwd -p rwxa -k passwd_changes ``` - **结果：** 在审计日志中捕获到文件访问事件 - **遥测来源：** `/var/log/audit/audit.log` ## 🚨 检测与 MITRE ATT&CK 映射 | 告警描述 | Wazuh 规则 | 严重程度 | MITRE 技术 | 战术 | |------------------------|-----------|-----------------|----------------------------------|-------------------------| | SSH 暴力破解 | 2502 | 10 (严重) | T1110 - Brute Force (暴力破解) | 凭据访问 | | Sudo 会话已开启 | 5501 | 3 (低) | T1078 - Valid Accounts (有效账户) | 权限提升 | | 敏感文件访问 | 自定义 | 信息性 | T1005 - Data from Local System (本地系统数据) | 收集 | ## 🔍 调查深入分析 有关详细的取证分析和报告： - 📑 **[安全事件总结](incident-summary-report.md)** – 高级别执行报告与时间线 - 🔎 **[基于主机的取证分析](forensic-audit-analysis.md)** – 深入分析原始 `auditd` 遥测数据 ## 🛠️ 技术挑战与解决方案 ## 📂 项目结构 ``` wazuh-edr-incident-response-lab/ ├── 📄 README.md                  (Overview & Architecture) ├── 📄 incident-summary-report.md (Executive Summary) ├── 📄 forensic-audit-analysis.md (Technical Deep-Dive) ├── 📂 assets/                    (Forensic Screenshots) ├── 📂 logos/                     (Wazuh + Dockers Logos) ├── 📂 logs/                      (Raw Alert Exports) └── 📂 scripts/                   (Simulation Scripts) ``` ## 📊 证据与仪表板可视化 为了验证攻击及我们的防御配置，在 Wazuh 仪表板中捕获了以下遥测数据： ### 🛡️ 实时告警 下图展示了原始的 SSH 身份验证日志，突出了来自 `192.168.122.242` 的重复失败登录尝试，提供了 SIEM 告警生成前暴力破解攻击的证据。  ### 📈 事件时间线 (Wazuh) 此序列表明了从初始访问到权限提升的转变，与 MITRE ATT&CK 技术 T1110 (Brute Force) 和 T1078 (Valid Accounts) 相符。  ### 📑 威胁狩猎报告 对 Wazuh 告警的分析确认了与相关 MITRE ATT&CK 技术的映射，具体为： ## 🎯 展示的核心技能 - **SIEM 工程：** 部署并配置了 Wazuh (基于 Docker)，用于实时日志接入、告警和 MITRE ATT&CK 映射 - **EDR 集成：** 安装并接入 Wazuh Agent，配置了自定义日志源 (`auth.log`, `auditd`) 以增强可见性 - **威胁检测与关联：** 识别并关联了 SSH 暴力破解活动与成功的身份验证及权限提升事件 - **数字取证：** 使用 `auditd` 日志执行基于主机的分析，以追踪系统调用级别的活动和用户行为 - **事件分析：** 重建了从初始访问到权限提升的多阶段攻击时间线 - **MITRE ATT&CK 映射：** 将检测到的行为映射到相应技术，如 T1110 (Brute Force) 和 T1078 (Valid Accounts) ## 👤 作者 **Tanya Priya** **日期：** 2026年3月

标签：Auditd, CSV导出, Docker, EDR, KVM, OPA, PE 加载器, PoC, SSH, Wazuh, 安全可视化, 安全实验室, 安全运营中心, 安全防御评估, 应用安全, 攻击模拟, 数字取证, 暴力破解, 特权提升, 端点安全, 网络安全, 网络映射, 脆弱性评估, 自动化脚本, 自动化部署, 虚拟化, 补丁管理, 请求拦截, 隐私保护, 靶场, 驱动签名利用