MAYANKKANUGA/wazuh-siem-aws-lab

# Wazuh SIEM 安全监控实验 ## 目标 本实验的目标是在 AWS 上部署一个集中式的 Wazuh SIEM 环境，跨平台注册端点，模拟暴力破解攻击，并开发与 MITRE ATT&CK 框架映射的自定义检测规则。 ## 架构与基础设施 * **Wazuh 服务器：** Ubuntu 22.04 LTS（AWS EC2） * **端点 1：** Ubuntu 22.04 LTS（AWS EC2） * **端点 2：** Windows Server 2025 Datacenter（AWS EC2） * **网络安全：** 配置 AWS 安全组，限制管理访问仅来自可信 IP，同时允许代理注册（端口 1515）和通信（端口 1514）。 ## 项目流程 ### 1. SIEM 部署与代理注册 * 在 Ubuntu EC2 实例上部署 Wazuh Manager、Indexer 和 Dashboard。 * 在 Linux 和 Windows Server 环境中成功安装并验证 Wazuh 代理，确认仪表板中的活跃通信。 ### 2. 攻击模拟（SSH 暴力破解） * 使用本地攻击机上的 `Hydra` 和 `rockyou.txt` 字典，对 Linux 代理发起定向 SSH 暴力破解攻击。 * 在 Wazuh Threat Hunting 仪表板中验证事件 2501（用户认证失败）的摄入。 ### 3. 自定义规则创建与 MITRE 映射 * 为提升攻击可见性，导航至 `/var/ossec/etc/rules/local_rules.xml` 并创建自定义检测规则。 * **规则逻辑：** 配置当同一源 IP 在 60 秒内发生多次认证失败时触发 15 级（严重）告警。 * **MITRE ATT&CK：** 将自定义规则直接映射至 **T1110（暴力破解）**。 * **验证：** 重新运行 Hydra 模拟，成功触发自定义 15 级“严重：SSH 暴力破解攻击已检测”告警。 ## 展示技能 * 云基础设施管理（AWS EC2、安全组、SSH 密钥管理） * SIEM 管理与代理部署 * 日志分析与查询 * 威胁模拟（Hydra） * 检测工程（创建映射至 MITRE ATT&CK 的自定义 XML 规则）

标签：AMSI绕过, AWS, Cloudflare, Critical, DPI, EC2, Hydra, IaC, Level 15, MITRE ATT&CK, rockyou.txt, Security Groups, SSH 暴力破解, T1110, Wazuh, Windows Server, 告警触发, 威胁检测, 日志采集, 端口 1514, 端口 1515, 端点注册, 自定义规则, 跨平台端点