PRABU-S-19/Sentient-Shield

#盾 — 企业级 EDR 与威胁狩猎网格     ## 📌 项目概览 | 字段 | 详情 | |---|---| | **项目名称** | Sentient Shield | | **组织** | Infotact Solutions — CDOC | | **团队** | Blue Team Alpha | | **角色** | 安全运营实习生 | | **周期** | 4 周 | | **状态** | ✅ 已完成 | ## 🎯 问题陈述 Infotact 的服务器面临持续的暴力破解攻击和勒索软件 威胁。需要一个集中式实时系统来： - 即时检测文件完整性违规 - 7x24 小时监控关键系统文件 - 自动响应暴力破解攻击 - 将威胁映射到 MITRE ATT&CK 框架 - 模拟并检测勒索软件杀伤链 ┌─────────────────────────────────────────────┐ │ VIRTUALBOX LAB │ │ │ │ ┌──────────────────┐ ┌─────────────────┐ │ │ │ Wazuh Manager │ │ Windows Server │ │ │ │ Ubuntu 22.04 │ │ 2019 Eval │ │ │ │ 192.168.56.104 │ │ 192.168.56.107 │ │ │ │ - SIEM Backend │ │ - Wazuh Agent │ │ │ │ - Rules Engine │ └─────────────────┘ │ │ │ - Dashboard │ ┌─────────────────┐ │ │ └──────────────────┘ │ Linux WebServer│ │ │ │ Ubuntu 24.04 │ │ │ │ - Wazuh Agent │ │ │ │ - SSH Server │ │ │ └─────────────────┘ │ └─────────────────────────────────────────────┘ ## 🛠️ 技术栈 | 工具 | 版本 | 用途 | |---|---|---| | **Wazuh** | 4.7.5 | SIEM/EDR 平台 | | **VirtualBox** | Latest | 虚拟化 | | **Ubuntu** | 22.04/24.04 | Linux 端点 | | **Windows Server** | 2019 | Windows 端点 | | **OpenSearch** | Latest | 日志索引 | | **Hydra** | 9.5 | 暴力破解模拟 | | **Atomic Red Team** | Latest | 威胁模拟 | ## 📅 Sprint 结果 ### ✅ 第 1 周 — 基础设施与 Agent 部署 **目标：** 部署 Wazuh Manager 并连接所有 Agent **已完成：** - 使用一体化安装程序在 Ubuntu 上部署了 Wazuh Manager - 配置了隔离的 Host-Only 网络环境 - 在 Linux WebServer 和 Windows Server 上部署了 Wazuh Agent - 实现了 100% 的 Agent 覆盖率 **关卡检查：** ✅ 通过 Agent 001: Windows-Server (192.168.56.107) → 活跃 ✅ Agent 002: Linux-WebServer (192.168.56.110) → 活跃 ✅ 覆盖率：100% ### ✅ 第 2 周 — 检测规则与逻辑 **目标：** 配置 FIM、自定义规则、漏洞检测 #### 文件完整性监控 - 对关键目录进行实时监控 - 使用 Linux inotify 实现即时检测 - 文件更改后 5 秒内发出警报 **监控目录：** /etc → 系统配置 /usr/bin → 系统可执行文件 /usr/sbin → 管理工具 /var/www/html → Web 应用程序文件 /var/log → 系统日志 /tmp → 临时文件 #### 自定义检测规则 | 规则 ID | 级别 | 描述 | MITRE | |---|---|---|---| | 100005 | 6 | 身份验证失败 | T1110 | | 100006 | 10 | 检测到暴力破解 | T1110.001 | | 100010 | 12 | 检测到文件加密 | T1486 | | 100011 | 12 | 访问了凭据文件 | T1003 | | 100012 | 15 | 系统日志已清除 | T1070 | | 100013 | 12 | 密码文件已转储 | T1003 | #### 漏洞检测器 - 对所有 Agent 进行自动化 CVE 扫描 - 源：Canonical (Ubuntu) + NVD - 扫描间隔：5 分钟 **关卡检查：** ✅ 通过 FIM 警报在 5 秒内生成 ✅ 自定义规则正确触发 ✅ 漏洞检测器已启用 ✅ ### ✅ 第 3 周 — 主动响应 (IPS) **目标：** 自动封禁暴力破解攻击者 **场景：** 攻击者 → SSH 暴力破解 → Wazuh 检测 → IP 被封禁！ **配置：** - 规则 5763 触发 firewall-drop 命令 - 超时：3600 秒（封禁 1 小时） - 位置：本地（在受影响的端点上） **关卡检查：** ✅ 通过 ``` # Attacker IP 自动被封禁： DROP 192.168.56.110 ← Confirmed in iptables ✅ ``` ### ✅ 第 4 周 — 威胁模拟 **目标：** 模拟勒索软件杀伤链并进行可视化 **模拟技术：** | 技术 | ID | 模拟方法 | |---|---|---| | 日志清除 | T1070 | 清除了 /var/log/syslog | | 凭据转储 | T1003 | 访问了 /etc/shadow | | 文件加密 | T1486 | 将文件重命名为 .encrypted | | 备份删除 | T1490 | 删除了 .bak 文件 | | 密码转储 | T1003 | 复制了 /etc/passwd | **关卡检查：** ✅ 通过 杀伤链在仪表板中可视化 ✅ 所有技术均被检测到 ✅ 生成了执行摘要报告 ✅ ## 🎯 MITRE ATT&CK 覆盖范围 | 技术 | ID | 检测 | 响应 | |---|---|---|---| | 暴力破解 | T1110 | 规则 100005 | 自动封禁 IP | | 密码猜测 | T1110.001 | 规则 100006 | 自动封禁 IP | | 凭据转储 | T1003 | 规则 100011 | 警报级别 12 | | 文件加密 | T1486 | 规则 100010 | 警报级别 12 | | 日志清除 | T1070 | 规则 100012 | 警报级别 15 | | 数据篡改 | T1565 | FIM | 警报级别 7 | ## 📁 仓库结构 Sentient-Shield/ │ ├── README.md ├── configs/ │ ├── agent-ossec.conf │ └── manager-ossec.conf ├── rules/ │ └── local_rules.xml ├── decoders/ │ └── local_decoder.xml └── screenshots/ ├── agents-active.png ├── fim-alerts.png ├── security-events.png ├── active-response.png └── kill-chain.png ## 👨‍💻 作者 **Prabu S** 安全运营实习生 — Blue Team Alpha Infotact Solutions CDOC [](https://linkedin.com/in/prabu-cybersecurity-s) *"信任无人。验证一切。"* ## 🏗️ 架构

标签：BurpSuite集成, CISA项目, Cloudflare, EDR, Kill Chain, MITRE ATT&CK, PE 加载器, Wazuh, Windows Server, x64dbg, 云计算, 企业安全, 勒索软件, 安全运营, 扫描框架, 暴力破解防护, 端点检测与响应, 网络安全, 网络资产管理, 脆弱性评估, 脱壳工具, 自动化响应, 虚拟化实验室, 规则引擎, 隐私保护