fredycibersec/ENS-Wazuh-integration

# ENS Wazuh 集成 [](https://wazuh.com) [](LICENSE) [](https://www.boe.es/boe/dias/2022/05/03/pdfs/BOE-A-2022-7191.pdf) 针对 [Wazuh](https://wazuh.com) 的**西班牙国家安全框架 (Esquema Nacional de Seguridad — ENS, Real Decreto 311/2022)** 社区集成。 ## 什么是 ENS？ **Esquema Nacional de Seguridad (ENS)** 是西班牙国家网络安全框架，对公共行政部门及其技术提供商具有强制性。它在 **Real Decreto 311/2022** 中定义，并分为三个合规级别： | 级别 | 描述 | |-------|-------------| | **Básico** | 基线安全措施 | | **Medio** | 中级控制，在 Básico 基础上增加 | | **Alto** | 最严格的控制，在 Medio 基础上增加 | ENS 涵盖三个控制族：**[org]** 组织、**[op]** 操作和 **[mp]** 保护措施。 ## 此集成提供的功能 | 组件 | 描述 | |-----------|-------------| | **SCA 策略** | 针对 Linux 和 Windows agent 的 YAML 策略，根据 ENS 控制措施审计系统配置 | | **检测规则** | 带有 ENS 控制引用标记的自定义 Wazuh 规则 | | **控制映射** | 将 ENS 控制措施映射到 Wazuh 检查和规则的完整参考表 | | **仪表板** | 用于 ENS 合规性可视化的 OpenSearch 仪表板 | ## 支持的版本 - **Wazuh**：4.4 或更高版本（推荐 4.7+） - **Agent**：Linux (RHEL/CentOS/Debian/Ubuntu)，Windows 10/11/Server 2019+ - **OpenSearch**：2.x（用于仪表板） ## 快速开始 ``` git clone https://github.com/fredycibersec/ENS-Wazuh-integration.git cd ENS-Wazuh-integration sudo bash install.sh ``` 安装程序将： 1. 将 SCA 策略复制到 `/var/ossec/ruleset/sca/` 2. 将检测规则复制到 `/var/ossec/etc/rules/` 3. 更新 `ossec.conf` 以启用新的 SCA 策略 4. 重启 Wazuh manager ## 手动安装 ### 1. 复制 SCA 策略 ``` sudo cp sca/ens_linux.yml /var/ossec/ruleset/sca/ sudo cp sca/ens_windows.yml /var/ossec/ruleset/sca/ ``` ### 2. 在 ossec.conf 中启用 SCA 策略 在 `/var/ossec/etc/ossec.conf` 的 `` 块中添加以下内容： ``` yes yes 12h yes etc/shared/ens_linux.yml etc/shared/ens_windows.yml ``` ### 3. 复制检测规则 ``` sudo cp rules/ens_detection_rules.xml /var/ossec/etc/rules/ ``` ### 4. 将仪表板导入 OpenSearch 1. 打开 OpenSearch Dashboards（通常位于 `https://`） 2. 转到 **Stack Management → Saved Objects → Import** 3. 上传 `dashboards/ens_dashboard.ndjson` 4. 如果出现提示，请选择 **Overwrite existing objects** 5. 导航到 **Dashboards → ENS — Esquema Nacional de Seguridad** ### 5. 重启 Wazuh manager ``` sudo systemctl restart wazuh-manager ``` ## ENS 控制覆盖范围 ### 自动化 (SCA + 规则) | 族 | 控制 | 描述 | 级别 | |--------|---------|-------------|-------| | op.acc | op.acc.1 | 身份识别 | Básico | | op.acc | op.acc.2 | 访问要求 | Básico | | op.acc | op.acc.3 | 职责分离 | Básico | | op.acc | op.acc.6 | 身份验证（组织用户） | Básico | | op.acc | op.acc.7 | 远程访问 | Medio | | op.exp | op.exp.2 | 安全配置 | Básico | | op.exp | op.exp.6 | 恶意软件防护 | Básico | | op.exp | op.exp.8 | 用户活动日志记录 | Básico | | op.exp | op.exp.10 | 日志保护 | Medio | | op.mon | op.mon.1 | 入侵检测 | Básico | | mp.com | mp.com.2 | 机密性 | Medio | | mp.com | mp.com.3 | 真实性/完整性 | Básico | | mp.com | mp.com.4 | 网络隔离 | Básico | | mp.eq | mp.eq.2 | 工作站锁定 | Básico | | mp.info | mp.info.3 | 信息加密 | Medio | | mp.info | mp.info.9 | 备份 | Básico | | mp.s | mp.s.2 | 服务保护 | Básico | | mp.s | mp.s.3 | DoS 防护 | Básico | | mp.sw | mp.sw.2 | 软件验收 | Básico | ### 需要手动证据 | 族 | 控制 | 描述 | |--------|---------|-------------| | org.* | org.1–4 | 策略、程序、授权 | | mp.if | mp.if.1–7 | 物理设施 | | mp.per | mp.per.1–5 | 人事管理 | | mp.si | mp.si.1–5 | 物理介质处理 | ## 项目结构 ``` ENS-Wazuh-integration/ ├── sca/ │ ├── ens_linux.yml # SCA policy for Linux agents │ └── ens_windows.yml # SCA policy for Windows agents ├── rules/ │ └── ens_detection_rules.xml # Custom detection rules with ENS tags ├── dashboards/ │ └── ens_dashboard.ndjson # OpenSearch dashboard (import via UI) ├── docs/ │ ├── controls_mapping.md # Full ENS ↔ Wazuh mapping reference │ └── installation_guide.md # Detailed installation guide ├── tests/ │ └── validate_sca.py # SCA policy syntax validation script ├── install.sh # Automated installer └── uninstall.sh # Uninstaller ``` ## 贡献 欢迎贡献。请在提交 pull request 之前阅读 [CONTRIBUTING.md](CONTRIBUTING.md)。 特别需要帮助的领域： - Windows SCA 策略检查 - 额外的 op.exp 和 mp.com 检查 - OpenSearch 仪表板改进 - 翻译和文档 ## 参考 - [Real Decreto 311/2022 — BOE](https://www.boe.es/boe/dias/2022/05/03/pdfs/BOE-A-2022-7191.pdf) - [CCN-CERT ENS Portal](https://ens.ccn.cni.es) - [Wazuh SCA 文档](https://documentation.wazuh.com/current/user-manual/capabilities/sec-config-assessment/) - [Wazuh 规则文档](https://documentation.wazuh.com/current/user-manual/ruleset/custom-rules/) ## 许可证 本项目采用 **GNU General Public License v2.0** 授权 — 详见 [LICENSE](LICENSE)。 ## 作者 由 **Alfredo Ramírez**，Wazuh Ambassador 维护。 https://wazuh.com/ambassadors/alfredo-ramirez/

标签：Conpot, ENS, RD 311/2022, SCA策略, Wazuh, Windows安全, 仪表盘, 安全配置评估, 应用安全, 政府网络安全, 检测规则, 系统基线检查, 网络安全合规, 网络安全框架, 网络资产发现, 西班牙国家安全框架, 逆向工具