ZALO-DART/Wazuh-suricata-lab
GitHub: ZALO-DART/Wazuh-suricata-lab
本项目在 VMware 中搭建 Wazuh 与 Suricata 联动实验环境,实现端点与网络事件的集中采集、可视化与验证。
Stars: 0 | Forks: 0
# VMware 上的 Wazuh + Suricata 实验环境
## 执行摘要
本项目记录了基于 VMware 的网络安全实验环境的实施过程,旨在使用 Wazuh 集中安全事件,并通过 Suricata 集成网络事件检测。该环境由三台虚拟机组成:一台 Wazuh server、一台安装了 Suricata 和 Wazuh Agent 的 Ubuntu host,以及一台安装了 Wazuh Agent 的 Windows 10 endpoint。最终结果为:成功注册了两个 agent,在 Wazuh dashboard 中可视化安全事件,并确认了 Suricata 生成的告警已被成功接收。
## 目标
部署一个功能完备的实验环境,以实现以下目的:
- 在 Wazuh 中集中安全事件
- 将 Suricata 作为 IDS 集成到 Ubuntu 中
- 注册一个 Linux agent 和一个 Windows agent
- 从 dashboard 验证事件和告警的接收情况
- 对操作流程和结果进行技术文档化
## 使用的技术
- VMware Workstation
- Wazuh
- Suricata
- Ubuntu Server
- Windows 10
- Git
- GitHub
## 使用的版本
- VMware Workstation
- Wazuh Server: 4.14.4
- Wazuh Agent Ubuntu: 4.14.4
- Wazuh Agent Windows: 4.14.4
- Suricata: 8.0.4
- Ubuntu Server: 24.04.4 LTS
- Windows 10 Pro: 10.0.19045.3803
## 使用的虚拟机
| 角色 | VMware 中的名称 | 系统内的名称 | IP |
|---|---|---|---|
| Wazuh Server | Wazuh-Server | wazuh-server | 192.168.254.133 |
| Ubuntu + Suricata + Wazuh Agent | Ubuntu 2026 | ubuntu-suricata | 192.168.254.131 |
| Windows 10 + Wazuh Agent | Windows 10 2026 | DESKTOP-35HVUL9 | 192.168.254.132 |
## 拓扑
这三台虚拟机连接在同一个 VMware NAT 网络内:
- Wazuh-Server → 192.168.254.133
- Ubuntu Suricata → 192.168.254.131
- Windows 10 Agent → 192.168.254.132
## 执行的操作流程
1. 在 VMware 上部署 Wazuh Server。
2. 安装 Ubuntu Server 并配置 OpenSSH。
3. 在 Ubuntu 上安装 Wazuh Agent。
4. 在 Ubuntu 上安装 Suricata。
5. 配置 Wazuh 以读取 Suricata 生成的 `eve.json` 文件。
6. 验证从 Ubuntu 产生的流量和事件。
7. 在 Windows 10 上安装 Wazuh Agent。
8. 验证两个 agent 是否在 Wazuh 中显示为活跃状态。
9. 验证在 Threat Hunting 中事件和告警的可视化。
## 执行的验证
进行了以下技术检查:
- Ubuntu 与 Wazuh 之间的 ICMP 连通性
- 来自 Ubuntu 的 DNS 解析
- 来自 Ubuntu 的 HTTPS 流量生成
- `suricata` 服务的活跃状态
- `wazuh-agent` 服务的活跃状态
- `/var/log/suricata/eve.json` 中事件的生成
- 配置 `ossec.conf` 以读取 `eve.json` 文件
- 在 Windows 上安装 Wazuh agent
- `wazuhsvc` 服务处于 `Running` 状态
- 在 Endpoints 面板中查看两个 agent
- 在 Threat Hunting 中查看 Suricata 的告警和事件
## 主要证据
实验环境的证据位于 `evidencias/` 文件夹中。
精选截图:
- `00_wazuh_overview_general.png`
- `01_wazuh_threat_hunting_dashboard.png`
- `02_wazuh_endpoints_agentes_activos.png`
- `03_wazuh_threat_hunting_ubuntu_suricata.png`
- `06_ubuntu_suricata_activo.png`
- `07_ubuntu_wazuh_agent_activo.png`
- `13_windows_wazuh_agent_running.png`
## 观察结果
该实验环境获得了以下结果:
- Wazuh 正常运行,并且可通过浏览器访问
- 注册了两个活跃的 agent:Ubuntu 和 Windows
- Suricata 生成了在 Wazuh 中可见的事件
- Threat Hunting 显示了来自 `ubuntu-suricata` agent 的事件
- Windows endpoint 通过 `wazuhsvc` 服务正确连接
- 在一个简单的虚拟环境中成功构建了用于监控和集中事件的功能性架构
## 遇到的问题及技术决策
在搭建实验环境的过程中出现了一些问题:
- 发现将 VMware 直接与 GNS3 集成时存在问题
- 为了优先考虑稳定性和简便性,决定仅使用 VMware 完成实验环境
- 在完成最终集成之前,有必要验证连通性、DNS 和流量
- 在上传到 GitHub 期间,出现了临时的 DNS 解析问题,该问题通过清除本地 DNS 缓存得到了解决
## 结论
该实验环境展示了在基于 VMware 的虚拟架构中有效集成 Wazuh 和 Suricata 的过程,在受控环境中结合了 endpoint 监控和网络事件检测。该实践验证了 Linux 和 Windows agent 的注册、在 Wazuh dashboard 中安全告警的接收,以及 Suricata 作为 IDS 事件源的实用性。总体而言,本项目虽然是一个小型的实施,但在安全事件的监控、可观测性及初步分析实践方面,具备坚实的技术基础。
## 作者
项目由 GONZALO M. PEREZ 完成
标签:SIEM, Suricata, VMware, Wazuh, 入侵检测系统, 安全实验室, 安全数据湖, 现代安全运营