calvinanglo/wazuh-siem-deployment
GitHub: calvinanglo/wazuh-siem-deployment
一个生产级别的 Wazuh SIEM 部署方案,通过接收企业网络设备的 syslog 实现实时威胁检测、事件响应和合规监控。
Stars: 0 | Forks: 0
# Wazuh SIEM 部署
一个生产就绪的 Wazuh 设置,与项目 1 的企业网络集成。涵盖部署、自定义检测规则、事件响应工作流,以及基于 ITIL 的变更管理。
## 这是什么
本项目演示如何将 Wazuh 部署为网络分段实验室的集中式 SIEM。Wazuh 从所有四个网络设备(R1-CORE、SW-DIST、SW-ACC-1、SW-ACC-2)和 pfSense 接收 syslog,实现实时威胁检测和合规监控。
该设置包括:
- Wazuh 服务器和代理架构
- 网络异常的自定义检测规则
- 映射到 ITIL 流程的事件响应剧本
- 与现有监控堆栈(Prometheus、syslog)的集成
## 部署架构
Wazuh 服务器运行在 VLAN 20(10.10.20.10),与 Prometheus 并列。它通过 UDP 514 接收所有网络设备的 syslog。管理器处理事件、触发告警,并为取证记录所有内容。
如需网络上下文,请参阅配套项目:https://github.com/calvinanglo/enterprise-network-segmentation
## 入门指南
1. **配置虚拟机**:Debian 11 或 Ubuntu 22.04,最低 4GB 内存,50GB 磁盘,VLAN 20 上的静态 IP
2. **安装 Wazuh Manager**:按照 wazuh-install.sh 进行自动化设置
3. **配置 Syslog 转发**:将 configs/syslog-forwarding.txt 的配置应用到每个网络设备
4. **定义检测规则**:将 rules/custom-rules.xml 加载到 Wazuh 管理器
5. **测试告警管道**:运行 verification/alert-tests.md 验证端到端检测
## 文件结构
```
wazuh-siem-deployment/
configs/
ossec.conf # Wazuh manager config - syslog inputs, email alerts
syslog-forwarding.txt # IOS syslog config to apply on each Cisco device
rules/
custom-rules.xml # rules 5001-5006 for network security events
playbooks/
incident-response-workflows.md # ITIL IR workflows for each alert type
docs/
wazuh-deployment-guide.md # step-by-step install and config guide
itil-change-log.md # change records for all Wazuh modifications
verification/
alert-tests.md # alert injection tests to validate detection rules
```
## 展示的技能
**网络安全 (CCNA):** 与分段 VLAN 的 syslog 集成、端口安全规避检测、意外的生成树拓扑变化。
**威胁检测 (Security+):** 暴力破解 SSH 尝试、端口扫描、ACL 违规、异常流量模式和权限提升指标。
**事件管理 (ITIL):** 告警分类、事件分配、升级程序、根因分析工作流,以及修复的变更文档。
## 自定义检测规则
rules/ 目录包含以下模式:
- SSH 暴力破解尝试(规则 5001)
- 未使用接口的端口扫描检测(规则 5002)
- ACL 违规日志记录(规则 5003)
- 意外的生成树 BPDU(规则 5004)
- 访客 VLAN 到达受限子网(规则 5005)
- 特权账户的身份验证失败(规则 5006)
每个规则都包含严重性级别(严重、高、中)和用于仪表板聚合的分组。
## ITIL 变更管理
对 Wazuh 配置、规则或剧本的所有修改都遵循 docs/itil-change-log.md 中的变更控制。变更分为标准、正常或紧急类别,并包含文档化的回滚程序。
## 涵盖的认证
CCNA 200-301 — 网络监控、syslog 协议、VLAN 互联、路由协议
CompTIA Security+ — 威胁检测、漏洞扫描、事件响应、取证
ISC2 CC — 作为可用性和完整性控制的安全监控、事件响应程序
ITIL 4 — 事件管理、变更控制、问题管理、服务连续性规划
标签:AMSI绕过, Cisco设备, forensics, ITIL, pfSense, Syslog, Wazuh, 企业安全, 合规监控, 威胁检测, 子域名变形, 安全合规, 安全运营, 库, 应急响应, 异常检测, 扫描框架, 监控集成, 网络代理, 网络分段, 网络安全, 网络资产管理, 自定义请求头, 隐私保护