AngaIV/wazuh-firewall-response

# Wazuh 主动防御 SIEM 系统 **使用 Wazuh 和 iptables 自动化威胁检测与事件响应** ## 关于本项目 这是一个将 **Wazuh SIEM/XDR** 与 `iptables` 相结合来构建主动防御系统的家庭实验室项目。该系统监控 SSH 暴力破解活动并自动封锁攻击 IP，实现了从被动检测到实时响应的转变。  ## 核心组件 | 组件 | 作用 | |---|---| | **Wazuh Manager** | 收集日志，评估检测规则，并触发主动响应。 | | **受害机 VM** | 运行 Wazuh Agent 并监控认证日志。 | | **Kali Linux VM** | 用于模拟 SSH 暴力破解攻击以进行测试。 | | **iptables** | 在主机防火墙级别拦截恶意的 IP 地址。 | ## 网络配置 三台运行在仅主机 (host-only) 网络上的虚拟机，用于在隔离环境中模拟真实的攻击场景。  ## 配置与实现 ### 1. 日志监控 Wazuh Agent 在受害机上监控认证日志： ``` /var/log/auth.log ``` SSH 登录失败会被实时捕获。在短时间窗口内发生足够多次的失败后，将触发检测规则。  ### 2. 主动响应设置 在 Wazuh Manager 上配置 `ossec.conf`，包含两个块：一个用于定义命令，另一个用于定义触发时机。 **命令：** ``` firewall-drop firewall-drop yes ``` **触发器：** ``` firewall-drop local 5710,5711,5712,5716 600 ``` 这些规则 ID 对应于 Wazuh 内置规则集中的 SSH 认证失败规则。`600` 秒的 `timeout` 会使封锁状态保持 **10 分钟**，之后会自动解除。  ### 3. 攻击模拟 在 Kali 机器上使用简单的循环来产生重复的 SSH 登录失败，从而触发检测规则： ``` for i in {1..10}; do ssh ghost@192.168.56.103; done ``` ## 结果 ### 检测 Wazuh Manager 标记了重复的登录失败，并针对相关的规则 ID 生成了警报。  ### 自动拦截 Wazuh 向 Agent 发出信号，以在 `iptables` 中为攻击 IP 添加一条 `DROP` 规则。通过以下命令进行验证： ``` sudo iptables -L -n ```  ### 审计追踪 `active-responses.log` 文件记录了应用拦截操作的时间戳条目以及触发原因。  ## 主要收获 | 领域 | 所展示的内容 | |---|---| | **XDR/SIEM 操作** | 从零开始配置和管理 Wazuh，包括 Agent 部署和规则调优。 | | **网络防御** | 使用 `iptables` 将 SIEM 检测直接链接到主机防火墙执行。 | | **事件响应** | 自动化了遏制阶段，显著缩短了响应时间。 | | **威胁模拟** | 使用 Kali Linux 在受控环境中模拟 SSH 暴力破解攻击。 | | **故障排除** | 解决了设置过程中的 XML 语法错误和规则 ID 不匹配问题。 | ## 应用的技能 - Wazuh SIEM/XDR 配置 - SSH 暴力破解检测 - Linux 日志监控 (`auth.log`) - 主动响应自动化 - `iptables` 防火墙规则 - 仅主机 VM 网络 - SOC 工作流实现 - 事件检测与遏制 - 使用 Kali Linux 进行安全测试 ## 如何复现 1. 在 Linux VM 上安装 Wazuh Manager。 2. 在第二台 Linux VM（受害机）上安装 Wazuh Agent。 3. 将 Kali Linux VM 连接到同一仅主机网络。 4. 应用上文所示的 `ossec.conf` 配置。 5. 运行暴力破解模拟，并观察警报和防火墙的响应。

标签：AMSI绕过, Home Lab, iptables, SOC工作流, SSH暴力破解, Wazuh, 主动响应, 主机防火墙, 威胁检测, 安全信息与事件管理, 安全实验室, 安全运营, 恶意IP拦截, 扩展检测与响应, 扫描框架, 搜索引擎爬取, 暴力破解防护, 漏洞模拟, 网络安全, 身份验证日志, 隐私保护