poulmhiripiri/Enterprise-Wazuh-SIEM-Deployment-with-Endpoint-Monitoring-Threat-Intelligence-and-Slack-Alerting

# 中小企业 Wazuh SIEM 部署、终端监控与安全自动化实验环境 ## 执行摘要 本项目展示了一个端到端的 Wazuh SIEM 部署，专为需要实用安全可见性、但无法承受大型商业 SIEM 平台高昂成本和复杂性的中小企业（SME）而设计。 该实验环境展示了如何将 Wazuh 部署为中央安全监控平台，接入 Windows 和 Linux 终端，收集安全事件，检测文件完整性变更，利用威胁情报丰富可疑活动，并将可操作的警报推送到协作渠道以加快响应速度。 本项目基于一个实操性的虚拟化环境，反映了作者在 ISP 环境中支持企业客户以及在银行环境中管理网络和基础设施运营的背景。 ## 本项目向招聘人员展示的能力 本代码库展示了以下方面的实操能力： - 使用 Wazuh Manager、Dashboard 和 Agents 进行 SIEM 部署和操作配置。 - Windows 和 Linux 终端接入。 - 关键目录和敏感文件的文件完整性监控 (FIM)。 - Microsoft Defender 事件收集和恶意软件检测可见性。 - 集成 VirusTotal 进行文件/哈希信誉富化。 - 漏洞检测和终端风险可见性。 - 集成 Slack 实现实时安全警报和响应协作。 - 事件检测用例，包括登录失败、文件更改、EICAR 恶意软件模拟、终端关机事件以及漏洞通知。 - 专注于中小企业的安全架构，可扩展至 SOC、SOAR、工单系统 (Ticketing) 和合规性工作流。 ## 架构 ``` flowchart LR subgraph Endpoints[Monitored Endpoints] W10[Windows 10 / Windows 11 Endpoint] WSVR[Windows Server] LNX[Ubuntu / Linux Server] end subgraph Controls[Endpoint Security Controls] DEF[Microsoft Defender] FIM[Wazuh File Integrity Monitoring] VULN[Wazuh Vulnerability Detection] end subgraph Wazuh[Wazuh SIEM Platform] AGENT[Wazuh Agents] MANAGER[Wazuh Manager] INDEXER[Wazuh Indexer] DASH[Wazuh Dashboard] RULES[Rules, Decoders & Alerts] end subgraph Intelligence[Threat Intelligence] VT[VirusTotal API] end subgraph Response[Alerting & Response] SLACK[Slack Security Alerts Channel] ITSM[Optional ITSM / Ticketing: Jira, ServiceNow, Freshservice, Zendesk] end W10 --> AGENT WSVR --> AGENT LNX --> AGENT DEF --> AGENT FIM --> AGENT VULN --> AGENT AGENT --> MANAGER MANAGER --> INDEXER INDEXER --> DASH MANAGER --> RULES RULES --> VT RULES --> SLACK SLACK --> ITSM ``` ## 代码库结构 ``` . ├── README.md ├── diagrams/ │ ├── wazuh-sme-architecture.mmd │ └── wazuh-alert-flow.mmd ├── docs/ │ ├── 01-deployment-overview.md │ ├── 02-agent-onboarding.md │ ├── 03-file-integrity-monitoring.md │ ├── 04-microsoft-defender-integration.md │ ├── 05-virustotal-threat-intelligence.md │ ├── 06-slack-alerting.md │ ├── 07-vulnerability-detection.md │ ├── 08-operational-use-cases.md │ └── 09-publication-checklist.md ├── screenshots/ │ └── README.md └── evidence/ └── evidence-notes.md ``` ## 已实现的关键组件 ### 1. Wazuh SIEM 部署 该实验环境包括 Wazuh 平台的部署，涵盖 manager、dashboard 和 endpoint agents。Wazuh dashboard 提供了一个集中监控终端活动、安全事件、漏洞和操作警报的平台。 ### 2. Windows 和 Linux Agent 接入 本项目演示了 Windows 和 Linux agent 的部署。这在中小企业环境中非常重要，因为这些组织通常运营由 Windows 终端、Linux 服务器、虚拟机和云工作负载组成的混合基础设施。 ### 3. 文件完整性监控 配置了 Wazuh FIM 以监控关键文件和目录。该实验环境验证了针对文件创建、修改、删除以及用户账户活动后 Linux 敏感文件（如 `/etc/passwd`）更改的警报。 ### 4. Microsoft Defender 集成 将 Microsoft Defender 操作日志转发到 Wazuh，以集中提供终端恶意软件可见性。实验环境使用了 EICAR 测试，以验证可以通过 Wazuh 观察和调查 Defender 的检测事件。 ### 5. VirusTotal 威胁情报 VirusTotal 集成利用外部威胁情报丰富了可疑文件和哈希事件。这有助于分析师验证文件或指标是否在全球范围内被视为恶意或可疑。 ### 6. Slack 警报 Wazuh 警报与 Slack 集成，以便将安全事件实时传送到团队频道。这提高了可见性，并在 SIEM 检测和协作式事件响应之间架起了桥梁。 ### 7. 漏洞检测 启用了 Wazuh 的漏洞检测功能，以提供对终端弱点、易受攻击的软件包以及需要修复的风险区域的可见性。 ## 已测试的安全用例 | 用例 | 控制领域 | 结果 | |---|---|---| | Windows 登录失败模拟 | 身份验证监控 | Wazuh 中可见登录失败警报 | | Windows 文件修改 | 文件完整性监控 (FIM) | 检测并记录文件更改 | | 创建用户后更新 Linux `/etc/passwd` | Linux FIM | 生成敏感文件更改警报 | | EICAR 测试文件 | Defender + Wazuh | 恶意软件模拟被检测并关联 | | VirusTotal 富化 | 威胁情报 | 可疑文件/哈希信誉验证 | | Slack 安全警报 | 安全自动化 | 警报传送到协作渠道 | | 终端关机/启动活动 | 终端监控 | 可见的操作安全事件 | | 漏洞扫描可见性 | 漏洞管理 | Dashboard 中呈现终端风险 | ## 这对中小企业为何重要 许多中小企业需要更强的网络可见性，但通常无法证明大型企业 SIEM 工具的许可成本或操作复杂性是合理的。本项目展示了 Wazuh 如何提供一个实用的安全监控基础，涵盖终端可见性、日志集中化、威胁检测、完整性监控、漏洞感知和协作警报。 ## 招聘人员总结 本项目展示了在部署、集成和操作 SIEM 平台方面的实操能力。它展示了对基础设施、终端安全、检测工程、SOC 工作流、漏洞管理和安全自动化的实践知识。该实施对于网络安全工程师、基础设施安全工程师、SOC 分析师、安全工程师、漏洞分析师以及云/SIEM 工程师等职位尤为相关。 ## 未来增强计划 - 为中小企业特定的检测逻辑添加自定义 Wazuh 规则。 - 将警报与 Jira、ServiceNow 或 Freshservice 集成以创建工单。 - 添加 SOAR 剧本以实现自动化的遏制操作。 - 将监控范围扩展到云工作负载和容器环境。 - 构建用于漏洞趋势、警报类别和终端合规性的管理 Dashboard。 - 添加针对 PCI DSS、Cyber Essentials、ISO 27001 和 CIS Controls 的合规性映射。 ## 免责声明 本项目是在受控实验环境中构建的，用于学习、演示和作品集展示。共享的所有屏幕截图均不代表真实的系统。

标签：Ask搜索, CISA项目, DNS 反向解析, EDR, Linux监控, Microsoft Defender, OpenCanary, Slack通知, VirusTotal, Wazuh, Windows监控, x64dbg, 中小企业安全, 威胁情报, 子域名变形, 安全实验室, 安全运营, 开发者工具, 扫描框架, 无线安全, 端点安全, 端点检测与响应, 网络安全, 网络安全审计, 脆弱性评估, 脱壳工具, 补丁管理, 隐私保护