HemantSingh1134/cyart-soc-team

CYART SOC 团队 - 第四周项目 使用 Wazuh SIEM 进行威胁搜寻与事件响应 ## 项目概述 本项目展示了使用 Wazuh SIEM 的完整安全运营中心 (SOC) 工作流。它包括基于模拟 SSH 暴力破解攻击的威胁检测、分析和响应。 该项目涵盖了理论概念和实际实施，包括威胁搜寻、SOAR 剧本设计、警报分类、证据分析、对手模拟以及事后分析。 ## 目标 - 使用 Wazuh SIEM 进行威胁搜寻 - 检测可疑的登录活动 - 模拟暴力破解攻击 - 分析日志并识别威胁 - 设计用于响应的 SOAR 剧本 - 使用指标评估 SOC 性能 ## 使用工具 - Wazuh SIEM - Kibana Dashboard - Linux (SSH) - Terminal ## 攻击模拟 使用以下命令模拟了暴力破解攻击： ssh fakeuser@localhost 输入了多个错误密码以生成失败的登录尝试。 ## 威胁搜寻 使用的查询： rule.id:5710 发现结果： - 多次失败的登录尝试 - 无效用户 (fakeuser, wronguser) - 源 IP (::1) - 重复尝试 (firedtimes 增加) MITRE ATT&CK 映射： - T1110.001 (Password Guessing) - T1021.004 (SSH) ## SOAR 剧本 工作流： 1. 检测警报 2. 提取 IP 3. 验证尝试 4. 攻击分类 5. 阻止 IP (模拟) 6. 创建工单 7. 通知管理员 ## 警报分类 警报：SSH Failed Login Attempt 规则 ID：5710 用户：fakeuser 优先级：High 原因： - 多次失败尝试 - 暴力破解模式 ## 证据分析 来源：/var/log/auth.log 证据： - 失败的登录尝试 - 无效用户 - 重复活动 结论： 确认暴力破解攻击。 ## 对手模拟 使用 SSH 登录尝试模拟攻击。 技术： T1110 – Brute Force 结果： Wazuh 检测并记录了该攻击。 ## 事后分析 根本原因： 身份验证控制薄弱 建议： - 账户锁定策略 - 强密码 - 持续监控 ## 指标 MTTD：1 小时 MTTR：2 小时 ## 期末项目 实施的完整 SOC 工作流： 1. 攻击模拟 2. 检测 3. 分类 4. 分析 5. 响应 6. 报告 ## 截图 图 1：Wazuh Discover 日志 (威胁搜寻) 图 2：日志详情 (证据) 图 3：重复登录尝试 (暴力破解证明) 图 4：SSH 攻击模拟 (Terminal) ## 结论 本项目成功演示了 SOC 运营，包括使用 Wazuh SIEM 对暴力破解攻击进行检测、分析和响应。该工作流改进了安全监控和事件响应能力。 ## 作者 姓名：Hemant Chauhan

标签：Cloudflare, HTTP/HTTPS抓包, MITRE ATT&CK, root cause analysis, SOAR, SSH暴力破解, Wazuh, 内存分配, 告警研判, 安全工作流, 安全工具集合, 安全运营中心, 对手模拟, 态势感知, 网络映射, 自动化响应, 越狱测试, 防火墙阻断