serialenabler/Wazuh-Pihole-Home-Security-Quickstart

# Wazuh 家庭网络安全警报 参考脚本和 Wazuh 代码片段，用于将家庭 Wazuh 部署转变为实用的网络警报系统。 本仓库聚焦于几个高信号检测场景： - 来自 Windows/Linux 主机的大规模出站传输，附带进程和目标上下文。 - 入站 TCP/1433 探测，作为不需要 MSSQL 时的简单端口扫描触发器。 - 针对已知恶意域名的 Pi-hole DNS 警报。 - Windows Defender 高严重性警报转发。 - 格式更清晰的高严重性电子邮件，包含 IP/域名安全化处理及基础信息增强。 这些文件是参考资料，而非即插即用的托管产品。运行前请阅读每个脚本，根据需要更改规则 ID，并在实验室或低风险主机上先行测试。 示例主机名、电子邮件地址、IP 地址和 MAC 地址均使用文档占位符。运行脚本前，请将其替换为您环境中的实际值。 ## 文件布局 ``` agents/ linux/ upload-watch.sh wazuh-mssql-probe-log.sh wazuh-mssql-probe-listener.py macos/ configure-mac-wazuh-dns.sh windows/ configure-windows-wazuh-dns.ps1 install-windows-upload-watch.ps1 manager/ decoders/local_decoder.xml examples/agent.conf examples/ossec-manager-snippets.xml examples/wazuh-network-device-aliases.example integrations/custom-high-email.py lists/malicious-domains.example rules/local_rules.xml docs/ install-notes.md ``` ## 快速开始 1. 将 `manager/rules/local_rules.xml` 中的内容合并到 `/var/ossec/etc/rules/local_rules.xml`。 2. 将 `manager/decoders/local_decoder.xml` 中的内容合并到 `/var/ossec/etc/decoders/local_decoder.xml`。 3. 将 `manager/integrations/custom-high-email.py` 复制到 `/var/ossec/integrations/custom-high-email` 并使其可执行。 4. 将 `manager/examples/ossec-manager-snippets.xml` 中的相关代码片段合并到 `/var/ossec/etc/ossec.conf`。 5. 将 `manager/examples/agent.conf` 合并到 `/var/ossec/etc/shared/default/agent.conf`。 6. 配置更改后，重启 Wazuh 管理器和已注册的代理。 7. 在 Windows 主机上，以管理员身份运行 PowerShell 并执行 `agents/windows/install-windows-upload-watch.ps1`。 ## 注意事项 - Windows 上传监控使用计划任务而非 Wazuh 远程命令，因为代理上通常禁用远程命令。 - 上传阈值为 30 分钟滚动窗口内 1 GiB。 - Windows 脚本在运行时会采样 TCP 连接，并在可用时附加 DNS 缓存名称。 - 邮件集成会对传出邮件中的域名/IP 进行安全化处理。 - MSSQL 探测规则仅当您的网络中不应可达 TCP/1433 时才有用。 ## 测试 Windows 上传测试： ``` powershell.exe -ExecutionPolicy Bypass -File .\agents\windows\install-windows-upload-watch.ps1 -SendTestAlert ``` Linux 上传监控测试运行： ``` sudo ./agents/linux/upload-watch.sh --threshold-bytes 1073741824 --state-file /var/ossec/queue/upload-watch.state ``` 从另一台主机进行 MSSQL 探测测试： ``` nc -vz 192.0.2.10 1433 ``` 请仅使用您拥有或有权测试的系统。

标签：AI合规, 应用安全, 逆向工具