thousaba/wazuh-project

# Sentryfy — 基于 Wazuh 的实时 SIEM Dashboard 这是一个通过 Windows agent 使用 Wazuh 收集日志、利用自定义规则生成警报、发送 Telegram 通知并具备实时 React dashboard 的安全监控项目。 ## 架构 ``` Windows Agent (Wazuh) → Wazuh Manager → Webhook (ngrok) → Node.js Backend → React Dashboard ↓ Telegram Bot ``` ## 安装与配置 ### 1. Wazuh Agent — ossec.conf 日志源 向 Windows agent 添加了需监控的日志源。  ### 2. 启用 Windows 审核策略 通过 `auditpol` 启用了审核策略，以记录失败的登录事件。  ### 3. 自定义 Wazuh 规则 为 Windows 失败登录和 USB 插入事件定义了自定义规则。  ### 4. Wazuh Webhook 集成 Wazuh manager 已配置为通过 ngrok 将警报转发至后端。  ### 5. ngrok 隧道 使用 ngrok 将后端暴露到外部网络。  ### 6. 后端代码 使用 Express + Socket.IO + Telegram 集成处理来自 webhook 的警报。  ## 测试 ### 使用错误用户凭据尝试登录 使用 `runas` 命令故意进行了失败的登录尝试。  ## 结果 ### Wazuh Discover — 警报   ### React 仪表板  ### Telegram 通知 

标签：Express, GNU通用公共许可证, HTTP/HTTPS抓包, MITM代理, Node.js, PB级数据处理, React, RFI远程文件包含, Socket.IO, Syscalls, Telegram 机器人, USB 监控, Wazuh, Webhook, Windows 安全, 力导向图, 安全告警, 安全运维, 实时仪表盘, 态势感知, 日志收集, 登录监控, 自动化攻击, 运维监控