Yhemee/Wazuh-threat-intelligence-lab
GitHub: Yhemee/Wazuh-threat-intelligence-lab
本项目演示了将 Wazuh SIEM 与 VirusTotal 威胁情报 API 集成的完整流程,用于增强对恶意文件和可疑 IP 的检测与告警富化能力。
Stars: 0 | Forks: 0
# 概述
本项目演示了如何将 VirusTotal 与 Wazuh SIEM 集成,利用威胁情报来丰富安全警报。
# 目标
通过外部威胁情报提升对可疑文件和 IP 的检测与分析能力。
# 使用的工具
- Wazuh SIEM
- VirusTotal API
- Ubuntu (Agent)
- Linux Server (Manager)
# 实验环境搭建
- 在 Linux 服务器上安装 Wazuh Manager
- 将 Ubuntu 终端配置为 Wazuh Agent
- 将日志转发至 Manager 进行分析
实施
步骤 1:安装 Wazuh Manager
步骤 2:配置 Wazuh Agent
步骤 3:集成 VirusTotal API
检测与结果
- 在 VirusTotal 中查询文件哈希值
- 使用信誉数据丰富警报内容
- 结合情报标记可疑 IP
挑战
- API 配置错误 → 通过修正格式解决
- 无警报触发 → 通过调整规则解决
- Agent 连接问题 → 通过网络排查解决
# 结论
本项目展示了集成威胁情报如何提升 SOC 环境中的可见性和事件响应能力。
步骤 2:配置 Wazuh Agent
挑战
- API 配置错误 → 通过修正格式解决
- 无警报触发 → 通过调整规则解决
- Agent 连接问题 → 通过网络排查解决
# 结论
本项目展示了集成威胁情报如何提升 SOC 环境中的可见性和事件响应能力。标签:API集成, Ask搜索, IP 地址批量处理, Linux服务器, VirusTotal, Wazuh, 可观测性, 哈希查询, 威胁情报, 安全可视化, 安全告警, 安全运营中心, 开发者工具, 恶意IP检测, 恶意文件检测, 搜索语句(dork), 端点安全, 网络信息收集, 网络安全, 网络映射, 补丁管理, 隐私保护