LuzTalaveraMartinez/Wazuh-Security-Lab

# 🛡️ 使用 Wazuh 实现 SIEM/XDR ## 👤 项目信息 * **作者：** Luz María Talavera Martínez * **日期：** 2026 年 4 月 19 日 * **角色：** 安全分析师 / 网络安全专业学生 ## 📖 总体描述 该仓库记录了使用 **Wazuh** 技术栈完整部署专业安全监控环境的过程。该实验室重点关注集中式日志管理、实时异常检测，以及通过映射 **MITRE ATT&CK** 框架的策略和技术来满足安全标准。 ## 🧠 与 AI 的战略协作 该项目的亮点在于使用 **人工智能** 作为技术导师和问题解决指南。AI 实现了： * **资源优化：** 配置关键服务（Indexer、Manager、Dashboard），使其在低内存环境（总计 3.8GB / 可用 1.3GB）中稳定运行。 * **高级故障排除：** 解决 Wazuh API 中的通信冲突以及组件间的连接错误调试。 * **日志解读：** 协助事件关联，并将技术策略转化为 SOC 分析师的实际操作场景。 ## 🛠️ 技术栈 * **Wazuh 4.7.5：** 核心检测与响应引擎（Manager、Indexer、Dashboard）。 * **Ubuntu 22.04 LTS：** 主机操作系统（luztalavera-VirtualBox）。 * **Oracle VirtualBox：** 虚拟化平台，配置了端口转发（4443 -> 443）。 ## 📈 取得的里程碑与证据 ### 1. 实时事件监控 成功捕获并分析关键警报，优先检测未授权访问、SSH 暴力破解攻击以及提权（`sudo`）的使用。  *包含身份验证指标和警报级别的仪表盘总览。* ### 2. 权限提升检测 精确识别通过 `sudo` 提升到 `root` 的操作，并将其映射到 **Privilege Escalation** 和 **Defense Evasion** 策略下。  *捕获到的事件及其对应 Rule ID 的技术详情。* ### 3. 完整性审计（FIM） 实现 **File Integrity Monitoring** 模块，能够实时检测系统中关键文件的修改或删除。 ### 4. 漏洞管理（CVE） 实现 **Vulnerability Detector** 模块，能够对系统进行自动化扫描，以识别过时或存在已知安全缺陷的软件。  *被监控主机上检测到的漏洞的自动化报告。* ## 📜 自动化与支持 为了便于在任何环境中部署此实验室，包含了以下内容： * `install.sh`：用于全新安装（All-in-One） Wazuh v4.7.5 的自动化脚本。 * `status_check.sh`：用于验证 SIEM 服务状态的健康监控器。 ## ⚖️ 安全标准 该实验室在配置时参考了以下内容： - **MITRE ATT&CK**：映射暴力破解（T1110.001）和权限提升（T1548.003）技术。 - **PCI DSS / NIST**：身份验证日志监控和文件完整性审计。 ## 🛤️ 路线图 / 未来改进 - [ ] 实现 **Active Response**，以便在检测到暴力破解攻击时自动封锁 IP。 - [ ] 在 **Windows Server** 上部署代理，以监控 Active Directory 事件。 - [ ] 通过 **Slack** 或轻量级 Webhooks 配置自定义警报。 ## 🏁 结论 该实验室证明了在资源有限的环境中部署企业级安全解决方案的能力。重点放在 SIEM 的稳定性和事件检测的准确性上，验证了在 Linux 管理、日志分析以及使用 **AI** 工具加速技术学习周期方面的技术能力。

标签：AI辅助, BurpSuite集成, Cloudflare, CSV导出, meg, MITRE ATT&CK, Oracle VirtualBox, PoC, SOC分析师, SSH安全, Sudo, Ubuntu 22.04, Wazuh, x64dbg, 人工智能, 低资源配置, 信息安全, 协议分析, 威胁监控, 安全事件响应, 安全仪表盘, 安全实验室, 安全运营中心, 应用安全, 异常检测, 日志集中管理, 暴力破解, 权限提升, 用户模式Hook绕过, 端点安全, 系统加固, 红队行动, 网络安全, 网络攻击防御, 网络映射, 虚拟化实验室, 补丁管理, 速率限制, 隐私保护