angelommorozini/wazuh-blue-team-lab
GitHub: angelommorozini/wazuh-blue-team-lab
基于Wazuh的蓝队实验室,用于安全监控、威胁狩猎和事件调查。
Stars: 0 | Forks: 0
# Wazuh 蓝队实验室
# 概述
本项目记录了围绕 Wazuh SIEM 构建的完整安全运营中心(SOC)实验室的部署。
该环境旨在模拟现实世界的蓝队操作,包括:
- 安全监控
- 检测工程
- 威胁狩猎
- 威胁情报
- MITRE ATT&CK 验证
- 事件调查
- 仪表板可视化
- IOC 关联
# 实验室架构
| 组件 | 目的 |
|------------|------------|
| Wazuh Manager | 中央 SIEM |
| Ubuntu 服务器 | 运行 Wazuh 堆栈 |
| Windows 10 | 被监控端点 |
| Kali Linux | 攻击模拟平台 |
| Sysmon | 端点遥测 |
| Atomic Red Team | ATT&CK 模拟 |
| AlienVault OTX | 威胁情报源 |
| Grafana | 安全仪表板 |
| Docker | 容器管理 |
| Portainer | Docker 管理 |
# SOC 监控仪表板
主安全监控仪表板,用于可视化由 Wazuh SIEM 平台收集的事件、警报、代理活动、MITRE ATT&CK 覆盖率和威胁狩猎数据。
仪表板目前监控超过 200,000 个事件,并提供对实验室环境中安全警报、代理活动和检测覆盖的可见性。
显示功能:
- 总事件数
- 活跃警报
- 严重性分布
- 代理监控
- 事件分类
- 安全分析
# 威胁狩猎仪表板
用于识别可疑活动、分析 MITRE ATT&CK 技术和调查环境中安全事件的威胁狩猎仪表板。
功能:
- MITRE ATT&CK 可视化
- 警报趋势分析
- 安全事件关联
- 主要攻击技术
- 代理活动监控
- 威胁狩猎工作流程
- 检测覆盖率分析
# 活跃代理
由 Wazuh 代理监控的 Windows 和 Linux 系统。
# MITRE ATT&CK 验证
执行了 Atomic Red Team 测试,并通过自定义 Wazuh 检测规则成功映射到 MITRE ATT&CK 技术上。
# 自定义检测工程
## 规则 115001 — 定时任务检测
**MITRE ATT&CK:** T1053 - 定时任务
```
windows
technique_id=T1053,technique_name=Scheduled Task
A Newly Scheduled Task has been Detected on $(win.system.computer)
T1053
```
### 检测示例
## 规则 115003 — 安全软件发现
**MITRE ATT&CK:** T1518 - 安全软件发现
```
windows
technique_id=T1518.001,technique_name=Security Software Discovery
Security Software Discovery Attempt has been Detected on $(win.system.computer)
T1518
```
### 检测示例
# 威胁情报集成
使用自定义脚本、CDB 列表和关联规则将 AlienVault OTX 集成到 Wazuh 中。
功能包括:
- IOC 源摄取
- 威胁情报关联
- 恶意 IP 检测
- 自定义黑名单
- 威胁狩猎验证
- 事件丰富
# VirusTotal 集成
VirusTotal 与 Wazuh 集成,以丰富文件声誉分析和恶意软件调查工作流程。
功能:
- 文件声誉分析
- 恶意软件检测
- IOC 丰富
- 威胁狩猎支持
- 自动警报生成
## 检测示例
EICAR 测试文件被 Wazuh 检测并通过 VirusTotal 集成丰富,提供文件声誉分析和恶意软件检测结果。
# 自动响应
Wazuh 自动响应被配置为自动对恶意文件检测和安全事件做出反应。
功能:
- 自动响应
- 事件隔离
- 端点修复
- 恶意软件隔离
- 安全自动化
## 检测和响应工作流程
1. 检测到恶意文件
2. Wazuh 代理收集遥测数据
3. 事件转发到 Wazuh Manager
4. 事件生成警报
5. 检查 VirusTotal 声誉
6. 执行自动响应
7. 文件隔离
8. 触发自动响应
9. 将安全警报升级以进行调查
## 规则 100200 — AlienVault 黑名单检测
```
web|attack|attacks
Firewall-Drop: IP $(srcip) Reportado como Malicioso na blacklist-alienvault
```
## 威胁情报检测
成功检测从 AlienVault OTX 导入的 IOC。
## 事件详情
由自定义规则 100200 生成的详细事件。
# Grafana 威胁情报仪表板
由 Wazuh 生成的威胁情报事件集成到 Grafana 仪表板中,用于地理可视化和国外情报跟踪。
功能:
- IOC 地理定位
- 地理威胁可视化
- 威胁狩猎仪表板
- 实时事件监控
- 安全分析
- 威胁情报关联
### 仪表板示例
# 威胁狩猎工作流程
1. 端点生成事件
2. Wazuh 代理收集遥测数据
3. 事件转发到 Wazuh Manager
4. 与 AlienVault 黑名单比较 IOC
5. 识别威胁匹配
6. 触发关联规则
7. 生成警报
8. 启动威胁调查
# Linux Auditd 监控
Auditd 与 Wazuh 集成,以提供 Linux 命令执行可见性并支持 Linux 系统上的威胁狩猎活动。
配置监控进程执行事件(`execve`),并将它们转发到 Wazuh 进行分析和关联。
功能包括:
- Linux 命令审计
- 特权命令监控
- 进程执行跟踪
- Linux 端点上的威胁狩猎
- Auditd 与 Wazuh 集成
- 安全事件关联
## 审计规则
```
-a always,exit -F arch=b64 -S execve -F auid=1000 -F egid!=994 -F auid!=-1 -F key=audit-wazuh-c
-a always,exit -F arch=b64 -S execve -F euid=0 -F auid>=1000 -F auid!=-1 -F key=audit-wazuh-c
```
## 审计监控示例
以下示例显示由 Auditd 收集的 Linux 命令执行事件,并成功转发到 Wazuh 进行监控和分析。
# 展示的技能
- 检测工程
- 威胁狩猎
- 威胁情报
- 安全监控
- IOC 管理
- 事件调查
- Wazuh 管理
- Sysmon 部署
- MITRE ATT&CK 映射
- Atomic Red Team
- Grafana 仪表板创建
- 地理空间威胁可视化
- Docker 管理
- 日志分析
- 自定义规则开发
- CDB 列表
- SIEM 操作
- Linux Auditd 管理
- 自动响应
- VirusTotal 集成
- YARA
- 恶意软件分析基础
- 安全自动化
# 作者
**Angelo Morozini**
专注于网络安全的学生:
- 蓝队操作
- 检测工程
- 威胁狩猎
- 威胁情报
- 安全监控
LinkedIn:
https://www.linkedin.com/in/angelo-morozini
-
etc/lists/blacklist-alienvault
标签:请求拦截