hakim-hub10/wazuh-ai-soc-lab

## 🛡️ SIEM + AI + SOAR 安全实验室 (Wazuh) 攻击 → 日志 → Wazuh → AI 检测 → 告警 → 响应剧本 → 封禁 IP ## 概述 该项目展示了一个完整的现代 SOC（安全运营中心）流水线，结合了： SIEM (Wazuh) – 日志收集和基于规则的检测 AI 检测 (Python) – 使用统计和机器学习模型进行异常检测 SOAR (自动化) – 自动化的事件响应 该系统能够实时检测、分析并自动缓解安全威胁。 ## 主要特性 SSH 暴力破解检测 文件完整性监控 (FIM) 基于 AI 的异常检测 自动生成告警 使用 iptables 自动封禁 IP 事件日志记录 安全仪表盘可视化 ## 架构 概述 该系统由以下部分组成： Wazuh SIEM (Docker) OpenSearch (索引) Dashboard (可视化) 用于 AI 检测和自动化的 Python 脚本 使用 iptables 的 SOAR 响应剧本 ## 数据流 [攻击] - [日志] -[Wazuh Agent] - [Wazuh Manager] - [OpenSearch] - [Dashboard] - [AI 检测] - [告警管理器] - [响应剧本] - [封禁 IP (iptables)] ## 组件 - Wazuh: 日志收集 基于规则的检测 文件完整性监控 - AI 检测 Z-score 异常检测 Isolation Forest - SOAR 自动化 IP 封禁 事件日志记录 告警处理 ## 响应流程 攻击发生（例如，SSH 暴力破解） Wazuh 生成事件 AI 分析异常 创建告警 执行响应剧本 IP 被自动封禁 ## 运行项目 docker compose up -d docker ps ## 测试流水线 python3 detect_anomalies.py python3 alert_manager.py python3 response_playbook.py ## 结果 AI 实时检测到了异常 攻击被 Wazuh 检测到 IP 地址被自动封禁 事件被记录到日志中 ## AI 与基于规则的检测对比 方法 检测时间 精确度 基于规则 ~30 秒 高 AI ~10 秒 中-高 👉 AI 将检测时间提高了约 40-60% - 基于规则的检测在多次登录尝试失败后触发（约 30 秒）。 - 基于 AI 的检测根据事件量和偏差 (z-score)，能显著更快地识别异常行为（约 10 秒）。 - 与传统的基于规则的检测相比，AI 将检测速度提高了约 40-60%。 ## 结论 以下各项的结合： SIEM AI SOAR ## 促成了： 更快的检测 自动化的响应 改进的威胁分析 ## 模拟攻击 (Windows → Linux/WSL) 从外部 Windows 机器对 Linux 环境发起了一次真实的模拟攻击。 场景 攻击者：Windows (PowerShell) 目标：Linux (WSL + Wazuh agent) 攻击类型：SSH 暴力破解 ## 步骤 攻击： 1. 尝试 SSH 登录（密码错误） ssh fakeuser@172.24.59.214 ➡️ 产生多次登录失败尝试 2. 验证网络连通性 ping 172.24.59.214 3. Wazuh 检测到攻击 规则：5710 (无效用户) 规则：100001 (暴力破解) 4. AI 分析异常 大量事件 检测到异常行为 被归类为严重事件 5. 自动化响应 通过 iptables 封禁 IP 记录事件日志 ## 🧠 分析 - SIEM 在日志中识别出了攻击模式 - 反复的登录失败触发了检测 - AI 检测到了事件行为中的偏差 - IP 地址是关键指标 ## 🔍 洞察 SIEM 能够区分内部和外部威胁 暴力破解攻击会产生明显的特征模式 IP 关联对于响应至关重要 📸 ## 截图文件中的证据。 来自 Windows 主机的模拟攻击 Wazuh 生成的安全告警 收集到的日志数据 安全仪表盘概览 暴力破解检测告警 文件完整性监控 (FIM) 事件 基于 AI 的威胁检测输出 通过 iptables 封禁 IP 地址 使用 Wireshark 进行网络流量分析 ## 🧾 反思 在这个项目中，我们使用 SIEM、基于 AI 的异常检测以及自动化的事件响应实现了一个完整的安全解决方案。 其中一个关键的收获是理解了不同组件在现代安全架构中是如何交互的。我们使用 Wazuh 进行日志收集和基于规则的检测，同时使用 Python 通过统计和机器学习技术来分析异常。 ## 主要收获 SIEM、AI 和自动化的集成 结构化日志和数据流的重要性 调试分布式系统 设计自动化的事件响应工作流 ## 挑战 确保 AI 模块和 Wazuh 之间的 JSON 格式正确 配置自动化响应机制 排查日志流水线和数据流问题 处理基于容器的网络环境 ## 成果 最终的解决方案实现了一个功能完整的流水线： 攻击被实时检测 使用 AI 识别异常 恶意 IP 地址被自动封禁 该项目展示了 AI 如何通过提高检测速度和实现动态、自动化的响应来增强传统的 SIEM 系统。 该方案的演进过程是从使用 `sudo` 变为直接在 Docker 容器内运行 `iptables`。 ## 未来改进 增加更多的数据源 采用更高级的机器学习模型 集成 Slack / 电子邮件告警 ## 总结 该项目展示了： SIEM + AI + SOAR = 现代化的自动化网络安全 ## 👨‍💻 作者 Abdihakim DevOps 与网络安全

标签：AMSI绕过, Apex, Docker, Docker Compose, FTP漏洞扫描, iptables, PE 加载器, Playbook, Python, SOAR, SSH暴力破解, Wazuh, x64dbg, Z-score, 云计算, 人工智能, 免杀技术, 告警管理, 威胁检测, 安全仪表盘, 安全实验室, 安全编排, 安全运营中心, 安全防御评估, 实时检测, 异常检测, 数据流, 无后门, 暴力破解检测, 机器学习, 用户模式Hook绕过, 网络安全, 网络映射, 自动化响应, 规则引擎, 请求拦截, 逆向工具, 防火墙, 阻断IP, 隐私保护, 隔离森林