mybeYsr/SOC-Automation

# 使用 Wazuh SIEM 和 Shuffle SOAR 实现 SOC 自动化 ## 概述 本项目展示了如何使用 **Wazuh SIEM** 和 **Shuffle SOAR** 设计和实现安全运营中心 (SOC) 自动化环境。主要目标是自动化与 SSH 暴力破解攻击相关的检测、遏制和通知流程，同时减少人工干预并提高事件响应效率。 该项目在受控的虚拟实验室环境中开发，旨在模拟真实的网络攻击场景。通过整合安全监控、自动响应机制和编排工作流，该解决方案为现代 SOC 操作提供了实际演示。 ## 项目目标 * 构建虚拟 SOC 环境。 * 模拟真实的 SSH 暴力破解攻击。 * 使用 Wazuh 监控安全事件。 * 自动检测恶意身份验证尝试。 * 使用 Wazuh Active Response 遏制威胁。 * 使用 Webhook 将 Wazuh 与 Shuffle SOAR 集成。 * 自动化事件通知工作流。 * 缩短平均响应时间 (MTTR)。 * 展示 SIEM 和 SOAR 集成的实用价值。 ## 架构 项目环境由以下组件组成： ### 攻击机 * Kali Linux * 用于模拟 SSH 暴力破解攻击。 ### 受害者服务器 * Ubuntu Server * 承载 SSH 服务。 * 运行 Wazuh Agent。 * 生成身份验证日志。 ### Wazuh SIEM * Wazuh Manager * 安全监控 * 事件关联 * 威胁检测 * 告警生成 * Active Response ### Shuffle SOAR * 工作流自动化 * 安全编排 * 告警处理 * 自动通知 ## 架构流程 ``` Kali Linux (Attacker) │ ▼ SSH Brute Force Attack │ ▼ Ubuntu Server (Victim) │ ▼ Wazuh Agent │ ▼ Wazuh Manager │ ├── Rule 5763 Detection │ ├── Active Response │ │ │ └── Firewall Drop │ ▼ Webhook Integration │ ▼ Shuffle SOAR │ ▼ Email Notification │ ▼ SOC Analyst ``` ## 使用的技术 | 技术 | 用途 | | ------------------- | --------------------- | | Wazuh | SIEM 平台 | | Shuffle | SOAR 平台 | | Ubuntu Server | 受害者系统 | | Kali Linux | 攻击模拟 | | Oracle VirtualBox | 虚拟化 | | SSH | 目标服务 | | Webhooks | 集成机制 | | Active Response | 自动化遏制 | | 邮件通知 | 事件告警 | ## 检测工作流 ### 阶段 1 – 攻击模拟 通过使用自动化密码尝试，从 Kali Linux 机器向 Ubuntu 受害者服务器发起暴力破解攻击。 ### 阶段 2 – 日志收集 Wazuh Agent 持续监控： ``` /var/log/auth.log ``` 身份验证事件将实时转发给 Wazuh Manager。 ### 阶段 3 – 威胁检测 Wazuh Manager 分析传入的日志，并将攻击行为与预定义的安全规则进行匹配。 本项目具体使用了： ``` Rule ID: 5763 ``` 该规则用于检测 SSH 暴力破解攻击。 ### 阶段 4 – 自动遏制 一旦检测到攻击，Wazuh Active Response 将自动执行： ``` firewall-drop ``` 攻击者的 IP 地址将被封锁 70 秒。 ### 阶段 5 – SOAR 自动化 生成的告警将通过 Webhook 集成转发至 Shuffle。 Shuffle 自动执行以下操作： * 接收告警。 * 处理 JSON 数据。 * 提取攻击信息。 * 执行工作流。 ### 阶段 6 – 事件通知 系统将生成自动电子邮件通知，并发送给 SOC 团队，其中包含： * 攻击者 IP 地址 * 受害者主机名 * 检测时间戳 * 告警严重程度 * 规则信息 ## Active Response 配置 本项目利用 Wazuh Active Response 自动遏制威胁。 该响应机制： * 检测暴力破解活动。 * 触发规则 5763。 * 执行 firewall-drop。 * 阻断攻击者通信。 * 在配置的超时时间后自动解除封锁。 这种方法展示了机器级别的事件响应，无需分析师干预。 ## 遇到的挑战 ### Wazuh 手动安装 项目最初尝试在 Ubuntu Server 上手动部署 Wazuh。 遇到了以下几个问题： * 依赖冲突 * 服务配置复杂性 * 部署不稳定 * 耗时的故障排除 ### 解决方案 团队采用了官方的 Wazuh OVA 设备，提供了稳定且预配置的部署环境。 ### Agent 连接问题 为了在 Wazuh Manager 和受害者机器之间建立稳定的通信，进行了多次尝试。 ### 解决方案 对网络设置、Manager IP 配置和 Agent 注册进行了验证和纠正。 ### Shuffle 集成问题 Wazuh 和 Shuffle 之间的集成需要进行大量测试。 挑战包括： * Webhook 验证 * Payload 格式化 * 告警转发 * 工作流执行 ### 解决方案 对自定义集成模块进行了配置和测试，直到实现可靠的通信。 ## 结果 该项目成功展示了： * 实时攻击检测。 * 自动威胁遏制。 * 成功的 Wazuh 和 Shuffle 集成。 * 自动化的电子邮件通知。 * 缩短的平均响应时间 (MTTR)。 * 提高运营效率。 在测试期间： * 成功检测到 SSH 暴力破解攻击。 * 规则 5763 按预期触发。 * 攻击者 IP 地址被自动封锁。 * Shuffle 工作流成功执行。 * 电子邮件通知已正确送达。 ## 安全效益 此实现展示了 SOC 自动化的几个关键优势： * 更快的事件响应。 * 减轻分析师的工作量。 * 一致的响应程序。 * 降低运营开销。 * 提高安全可见性。 * 降低人为错误的风险。 ## 未来改进 未来的潜在增强功能包括： * VirusTotal 集成。 * 威胁情报平台 (TIP)。 * 端点检测与响应 (EDR)。 * XDR 集成。 * Microsoft Teams 通知。 * Slack 集成。 * 自动创建工单。 * 基于机器学习的异常检测。 * 钓鱼响应自动化。 * 恶意软件响应工作流。 ## 截图 ### Wazuh Dashboard  ### Wazuh Agent 部署  ### 活动的 Agent  ### Active Response 配置  ### 规则 5763 检测  ### SSH 暴力破解攻击  ### Shuffle Webhook 集成  ### Shuffle 工作流  ### 最终结果 ##  ## 结论 本项目成功演示了如何结合 SIEM 和 SOAR 技术来创建一个自动化且可扩展的安全运营中心环境。 通过将 Wazuh SIEM 与 Shuffle SOAR 集成，所实施的架构能够检测 SSH 暴力破解攻击、自动遏制威胁，并在无需人工干预的情况下通知安全人员。 结果突显了 SOC 自动化的实际好处，并展示了现代组织如何利用安全编排和自动响应机制来提高抵御不断演变的网络威胁的抵御能力。 ## 团队成员 该项目由以下人员协作开发： Yasser Abdulrahman Majed 网络安全部门 2026

标签：FOFA, PB级数据处理, Shuffle, SOAR, SSH爆破检测, Wazuh, 内存分配, 安全实验室, 安全运维, 自动化响应