nagatejaswinisapare/Deploying-Wazuh-SIEM-for-Cross-Platform-Threat-Detection-

# 部署 Wazuh SIEM 实现跨平台威胁检测 在 Ubuntu Linux 上部署并配置 Wazuh SIEM，以监控 Linux 和 Windows 系统，模拟网络攻击，并通过威胁狩猎和日志分析技术分析实时安全告警。 # 部署 Wazuh SIEM 检测跨平台环境中的事件日志清除审计 ## 📌 概述 本项目演示了 Wazuh SIEM 平台的部署与配置，用于监控 Linux 和 Windows 环境中的可疑活动。实验通过实际的攻击模拟，重点关注实时日志分析、威胁狩猎、告警生成和安全事件监控。 本项目的目标是通过生成和分析真实世界的安全告警，获得 SIEM 技术、遥测监控及 SOC 分析师工作流的实践经验。 # 🛠️ 使用技术 - Wazuh SIEM - Ubuntu Linux - Windows 11 - Oracle VirtualBox - PowerShell - SSH - 威胁狩猎与日志分析 # 🖥️ 环境设置 ## Linux 环境 - 配置为 Wazuh 服务器的 Ubuntu Linux 虚拟机 - 已启用 SSH 身份认证监控 - 配置了用于事件分析的威胁狩猎仪表板 ## Windows 环境 - 使用 Wazuh Agent 集成 Wazuh 的 Windows 系统 - 代理名称：`Naina` - 已启用 Windows 遥测与安全事件监控 # 🚨 执行的攻击模拟 ## 1️⃣ Linux SSH 与 sudo 失败登录检测 在 Ubuntu Linux 系统上故意生成多次失败的身份认证尝试，以模拟可疑的登录活动。 ### 检测结果 - **规则 ID：** `5404` - **严重级别：** `10` - **告警描述：** `三次 sudo 执行失败` ### 展示技能 - Linux 日志分析 - SSH 监控 - 身份认证事件调查 - 威胁狩猎 ## 2️⃣ Windows 事件日志清除检测 使用 PowerShell 清除 Windows 安全事件日志，模拟 Windows 防御规避行为。 使用的命令 ``` Clear-EventLog -LogName Security #Detection Results Rule ID: 63103 Severity Level: 12+ Alert Description: Audit log was cleared 🎯 Project Outcome Successfully deployed a functional Wazuh SIEM environment capable of: Monitoring Linux and Windows systems Detecting suspicious login attempts Detecting audit log clearing activities Performing real-time security event analysis Investigating alerts using threat hunting techniques 📌 Author Nagatejaswini Saparay Aspiring Cybersecurity & SOC Analyst focused on SIEM, Threat Detection, Telemetry Engineering, and Blue Team Operations. ```

标签：AI合规, AMSI绕过, BurpSuite集成, SSH认证, sudo失败, Wazuh, 事件日志清除, 内存分配, 威胁检测, 安全, 安防实验室, 攻击模拟, 私有化部署, 超时处理, 跨平台监控, 速率限制, 防御规避, 驱动签名利用