quyyum0706/CTI-SIEM-Project-OpenCTI-Elastic

# 🔥 FireOps — SIEM & 入侵检测实验室 **团队 B | 网络安全实习项目** **重点领域：** 网络安全监控与攻击检测 **日期：** 2026 年 2 月 21 日 ## 摘要 本项目展示了使用 **Wazuh** 集成 **Suricata IDS** 部署和配置安全信息与事件管理（SIEM）系统的过程。目标是构建一个功能性的安全监控实验室，能够： - 检测暴力破解攻击 - 监控文件完整性变更 - 实时分析安全事件 实验室环境在受控环境中使用虚拟机实现。 ## 目录 1. [介绍](#1-introduction) 2. [项目目标](#2-project-objectives) 3. [实验室架构与环境搭建](#3-lab-architecture--environment-setup) 4. [使用的工具与技术](#4-tools-and-technologies-used) 5. [安装与配置](#5-installation-and-configuration) 6. [Azure 活动 — 虚拟机释放](#6-azure-activity--vm-deallocation) 7. [Suricata 与 Wazuh 集成](#7-suricata-integration-with-wazuh) 8. [暴力破解攻击模拟](#8-brute-force-attack-simulation) 9. [告警监控与日志分析](#9-alert-monitoring-and-log-analysis) 10. [安全发现](#10-security-findings) 11. [遇到的挑战](#11-challenges-encountered) 12. [经验教训](#12-lessons-learned) 13. [结论](#13-conclusion) ## 1. 介绍 本项目演示了在虚拟实验室环境中检测和分析网络威胁的 SIEM 系统的实际实现。重点在于实时日志监控、入侵检测和攻击模拟。 ## 2. 项目目标 - 部署并配置 **Wazuh SIEM** - 安装并集成 **Suricata IDS** - 启用 **文件完整性监控（FIM）** - 使用 **Kali Linux** 模拟暴力破解攻击 - 在 **Wazuh 仪表板** 中分析生成的告警 ## 3. 实验室架构与环境搭建 实验室环境包含多个虚拟机： | 角色 | 操作系统 | |------|----------| | Wazuh 管理器 | Ubuntu Server | | Ubuntu 代理 | Ubuntu | | 目标机器 | Windows 10 | | 攻击机 | Kali Linux | ## 4. 使用的工具与技术 | 工具 | 用途 | |------|------| | VirtualBox | 虚拟化平台 | | Wazuh SIEM | 日志管理与告警 | | Suricata IDS | 网络入侵检测 | | Kali Linux | 攻击模拟 | | Ubuntu Server | 代理与管理器托管 | | Windows 10 | 目标端点 | ## 5. 安装与配置 ### 安装 Wazuh ``` curl -sO https://packages.wazuh.com && sudo bash ./wazuh-install.sh -a ``` ### 安装 Suricata（Ubuntu/Debian） ``` sudo add-apt-repository ppa:oisf/suricata-stable sudo apt update && sudo apt install suricata -y ``` ### 安装 Wazuh 代理 ``` WAZUH_MANAGER="10.0.2.5" apt-get install wazuh-agent sudo systemctl daemon-reload sudo systemctl enable wazuh-agent sudo systemctl start wazuh-agent ``` ## 6. Azure 活动 — 虚拟机释放 审查了 Azure 活动日志以监控虚拟机释放事件。这些日志提供了基础设施层面变更的洞察，可能与安全事件相关联。 ## 7. Suricata 与 Wazuh 集成 Suricata 被配置为生成 **JSON 格式（`eve.json`）** 日志，并集成到 Wazuh 中进行集中监控与告警生成。 关键配置步骤： - 将 Suricata 输出设置为 `eve.json` - 指向 Wazuh 读取 Suricata 日志文件 - 在 Wazuh 仪表板中验证告警转发 ## 8. 暴力破解攻击模拟 从 **Kali Linux** 发起暴力破解攻击，目标是受害机器。目的是触发 Wazuh 中的身份验证失败告警，并验证端到端检测。 ## 9. 告警监控与日志分析 根据严重级别分析安全告警： | 级别 | 描述 | |------|------| | 🔴 严重 | 需要立即采取行动的即时威胁 | | 🟠 高 | 显著的可疑活动 | | 🟡 中等 | 中等风险指标 | | 🟢 低 | 信息性事件 | 审查日志以识别攻击模式并监控所有端点上的可疑行为。 ## 10. 安全发现 SIEM 系统成功检测到： - ✅ 暴力破解登录尝试 - ✅ 文件完整性违规 - ✅ 可疑网络流量模式（通过 Suricata） ## 11. 遇到的挑战 - Suricata 日志未在仪表板中显示（通过修复 JSON 配置解决） - 代理断开连接问题排查 - JSON 日志配置错误 ## 12. 经验教训 本项目提升了以下方面的实践经验： - SIEM 部署与配置 - IDS（Suricata）设置与集成 - 日志分析与关联 - 事件检测技术 - 虚拟实验室环境管理 ## 13. 结论 成功部署 **Wazuh** 和 **Suricata** 证明了 SIEM 解决方案在实时监控、检测和分析网络安全威胁方面的有效性。该实验室为构建更高级的安全运营能力奠定了基础。 ## 团队 **团队 B** — 网络安全实习，2026

标签：AMSI绕过, Azure, Elastic Stack, File Integrity Monitoring, FTP漏洞扫描, Metaprompt, MIT许可证, OpenCTI, SOAR, StruQ, Suricata, Wazuh, x64dbg, 免杀技术, 威胁检测, 安全编排, 实验室环境, 暴力破解检测, 流量重放, 现代安全运营, 生成式AI安全, 红队行动, 网络安全, 自动化响应, 虚拟化, 虚拟机, 隐私保护