Spica581/SIEM-Automated-Incident-Response-Pipeline

# 构建专用 SIEM 与自动化事件响应管道 ## 项目概述 本项目展示了使用企业级 SIEM/XDR 平台 (**Wazuh**) 进行集中式安全遥测管道的工程化、部署与测试。目标是设计一个虚拟网络基础设施，实时流式传输来自 Windows 目标客户端的终端数据，解析安全事件，并建立自动化防御措施以主动阻止模拟的网络攻击。  ## 实验室架构与组件  * **SIEM 中心引擎/仪表板：** Wazuh v4.14.5 OVA 虚拟设备，运行在加固的 Amazon Linux 基础上。 * **受监控终端 (目标)：** Windows 10/11 工作站，运行轻量级、静默的 Wazuh 监控代理服务。 * **虚拟机监控程序：** Oracle VM VirtualBox。 * **网络策略：** 桥接网络 (启用直接的本地子网可见性和真实的路由协议)。 ## 实施阶段 ### 阶段 1：虚拟基础设施与管道工程 * 配置并部署了中心 Wazuh SIEM 虚拟设备。  * 通过将环境从隔离的 NAT 模式切换到 **桥接适配器模式** 来设计网络映射，为服务器在本地子网上分配了专用身份。  * 使用管理命令行参数 (`msiexec`) 在 Windows 客户端上部署监控代理，将其无缝链接到管理器核心。 ``` msiexec /i "C:\Program Files (x86)\ossec-agent\wazuh-agent-4.14.5-1.msi" /q WAZUH_MANAGER="192.168.254.104" ``` ### 阶段 2：主动威胁模拟 (暴力破解检测) * **目标：** 复制针对 Windows 工作站的对抗性凭据猜测/字典攻击。 * **执行：** 使用非特权和非法用户账户 (例如 `Hacker`)，在 Windows 目标客户端上生成连续、快速的认证失败事件。 * **分析：** 监控摄取速度，并在 SIEM 仪表板的 **规则 ID 60122** (`登录失败 - 未知用户或错误密码`) 下成功捕获了 **Windows 事件 ID 4625** (账户登录失败)。  ### 阶段 3：集成主动响应 (自动化遏制) * 在服务器的中心配置 (`ossec.conf`) 中配置了一个针对 **规则 60122** 的自动修复剧本。 * **机制：** 当检测到暴力破解阈值时，服务器指示目标客户端立即执行 `netsh-win` 脚本，通过 Windows 防火墙阻止恶意源 IP 地址，持续 600 秒。 此命令告诉 Windows 当它检测到规则 ID 60122 (也称为登录失败尝试) 时运行 "netsh" 脚本： ``` netsh-win local 60122 600 ``` ## 📈 阶段 4：高级遥测摄取 (集成 Microsoft Sysmon) * **目标：** 扩展终端可见性，超越基本的 Windows 安全事件，以捕获高级执行技术 (如恶意 PowerShell 活动或勒索软件进程树)。 * **实现：** 使用行业标准的 *SwiftOnSecurity* 配置模板部署了 **Microsoft Sysmon**，以过滤后台噪音并重点专注于对抗性策略。  * **管道配置：** 修改了本地代理的 `ossec.conf` 层，以监控和传输隐藏的 `Microsoft-Windows-Sysmon/Operational` 事件通道。   * **验证：** 通过 PowerShell 执行了模拟的混淆命令，确认 **Sysmon 事件 ID 11 (进程创建)** 已干净地摄取到中心仪表板中——成功捕获了父进程、进程 GUID 和完整的命令行字符串。   * 🔍 现实世界日志分析：调优与误报 在验证 Sysmon 管道期间，中心管理器触发了一个 **级别 15 的严重警报 (规则 92213: 在恶意软件常用文件夹中放置了可执行文件)**，对应于 **MITRE ATT&CK T1105 (入口工具传输)**。 * **分流分析：** 检查原始遥测元数据后，识别出 `data.win.eventdata.targetFilename` 为： `C:\Users\sebas\AppData\Local\Temp\__PSScriptPolicyTest_xxxxxx.ps1` * **根本原因确定：** 此事件被分流为 **误报**。调查发现，这是 Windows 的一个本机机制，PowerShell 会在 `\Temp` 目录中生成一个临时文件来验证本地脚本执行策略。 * **工程启示：** 这突显了 Sysmon 事件 ID 11 (文件创建) 的高保真特性，并证明了在企业 SOC 环境中进行 SIEM 基线调优以减少告警疲劳至关重要。 ## 🛠️ 故障排除与工程突破 *此次部署最关键的部分涉及诊断连接中断 (`ERROR: (1208) Unable to connect to enrollment service`)。以下是解决方法：* 1. **隔离网络断连问题：** 发现标准 NAT 模式在服务器和代理之间创建了隔离屏障。桥接虚拟机监控程序的网络适配器恢复了可见性。 2. **操作系统/发行版评估：** 评估了核心防火墙兼容性问题。处理了 Ubuntu (`ufw`) 和 Red Hat/Amazon Linux 环境之间的差异，优化了架构配置以适应设备的原生安全策略。 3. **权限提升：** 通过使用提升权限的管理外壳来检查 `ossec.log` 内部的活动加密握手，绕过了 Windows 目录访问限制。 ## 展示的核心技能 * **SIEM/XDR 工程：** 摄取和解析终端安全日志。 * **终端遥测：** 读取和分类 Microsoft 安全事件日志。 * **事件响应自动化：** 创建类似 SOAR 的主动响应策略以进行威胁遏制。 * **系统与网络架构：** 诊断虚拟网络层、子网、路由和访问控制。 ### 新增关键技能： * 高级终端检测与跟踪 (EDR/XDR 设计) * 日志通道修改与 XML 配置 * 进程血统与命令行遥测分析

标签：AI合规, AMSI绕过, Wazuh平台, Windows安全监控, 事件ID分析, 威胁检测, 安全管道, 实时遏制, 暴力攻击检测, 端点安全, 网络安全, 网络桥接, 自动化响应, 虚拟化安全, 补丁管理, 遥测数据分析, 隐私保护