jaygohelceh/wazuh-misp-integration
GitHub: jaygohelceh/wazuh-misp-integration
将 Wazuh SIEM 与 MISP 威胁情报平台集成,通过 Python 脚本实现终端 IOC 的实时自动检测与告警丰富化。
Stars: 0 | Forks: 0
# 🔐 Wazuh + MISP 集成 (威胁情报扩充)
## 📌 概述
本项目演示了 **Wazuh SIEM** 与 **MISP (Malware Information Sharing Platform)** 的集成,以执行实时的威胁情报扩充。
该集成提取入侵指标 (IOC),例如:
* 恶意 IP 地址
* 恶意域名
* 文件哈希 (SHA256, MD5, SHA1)
这些 IOC 会针对 MISP 进行查询,如果找到匹配项,Wazuh 将生成高严重性警报。
## 🎯 核心功能
* 🔍 通过 MISP API 自动查询 IOC
* 🚨 检测恶意 IP、域名和哈希
* ⚡ Wazuh 中的实时警报扩充
* 🧠 SOC 就绪的关联规则
* 🐍 自定义 Python 集成脚本
## 🏗️ 架构
```
Endpoint (Sysmon Logs)
↓
Wazuh Agent
↓
Wazuh Manager
↓
Custom Integration Script (Python)
↓
MISP API
↓
Threat Intelligence Match
↓
Enriched Alert Generated
```
## 📂 项目结构
```
wazuh-misp-integration/
│
├── custom-misp.py
├── rules/
│ └── local_rules.xml
└── README.md
```
## ⚙️ 前置条件
* 已安装 Wazuh Manager
* 带有 Sysmon 的 Wazuh Agent (Windows/Linux)
* MISP 服务器访问权限
* 已安装 Python 3
* MISP API 密钥 (建议只读权限)
## 🚀 设置指南
### 📥 1️⃣ 克隆仓库
```
git clone https://github.com/jaygohelceh/wazuh-misp-integration.git
cd wazuh-misp-integration
```
### 🧠 2️⃣ 配置 MISP
* 登录到您的 MISP 实例
* 导航至:**Automation → API Keys**
* 生成新的 API 密钥 (建议只读权限)
* 启用并更新威胁情报源
### ⚙️ 3️⃣ 配置 Wazuh 集成
编辑 Wazuh 配置文件:
```
/var/ossec/etc/ossec.conf
```
添加以下集成代码块:
```
custom-misp
sysmon_event1,sysmon_event3,sysmon_event6,sysmon_event7,sysmon_event15,sysmon_event22,syscheck
json
```
重启 Wazuh Manager:
```
systemctl restart wazuh-manager
```
### 🐍 4️⃣ 添加集成脚本
将 Python 集成脚本复制到 Wazuh 集成目录:
```
cp custom-misp.py /var/ossec/integrations/
chmod +x /var/ossec/integrations/custom-misp.py
```
### 📜 5️⃣ 添加自定义规则
```
cp rules/local_rules.xml /var/ossec/etc/rules/
systemctl restart wazuh-manager
```
### 🧪 6️⃣ 验证集成
检查 Wazuh 日志以确认集成正在运行:
```
tail -f /var/ossec/logs/ossec.log
```
您应该会看到与 **custom-misp integration execution** 相关的条目。
### 4️⃣ 添加自定义规则
```
cp rules/local_rules.xml /var/ossec/etc/rules/
systemctl restart wazuh-manager
```
## 🧠 检测逻辑
集成脚本会:
1. 从 Wazuh 警报中提取 IOC (IP、域名、哈希)
2. 向 MISP API 发送请求
3. 检查匹配的属性
4. 如果找到匹配项,则生成扩充后的警报
## 🧪 测试
### Windows
```
ping 8.8.8.8
nslookup malicious.com
```
### Linux
```
curl http://example.com
```
## 🚨 警报示例
### 恶意 IP
```
🚨 MISP: Malicious IP detected - 45.67.12.90
```
### 恶意域名
```
🚨 MISP: Malicious Domain detected - badsite.com
```
### 恶意哈希
```
🚨 MISP: Malicious File Hash detected -
```
## 📊 应用场景
* 威胁情报扩充
* SOC 警报分类
* IOC 检测自动化
* 恶意软件调查支持
## 📚 学习成果
* SIEM + 威胁情报集成
* 网络安全中基于 API 的自动化
* 真实 SOC 工作流程实现
## ⚠️ 免责声明
本项目仅用于**教育目的**。
## 👨💻 作者
Jay Gohel
标签:API集成, IOC检测, IP 地址批量处理, meg, PE 加载器, Python, Sysmon, Wazuh, 信息安全, 可观测性, 威胁情报, 威胁情报富化, 安全运营, 开发者工具, 开源安全工具, 恶意IP检测, 恶意域名检测, 扫描框架, 文件哈希检测, 无后门, 网络信息收集, 网络安全, 逆向工具, 逆向工程平台, 隐私保护