insomn1a0/wazuh-automated-soc-platform
GitHub: insomn1a0/wazuh-automated-soc-platform
基于 Wazuh、Suricata、YARA 和 Telegram 构建的自动化 SOC 实验平台,覆盖事件检测、告警通知、响应排队与 HTML 报告生成的完整安全运营工作流。
Stars: 0 | Forks: 0
# 基于 Wazuh、Suricata、YARA 和 Telegram 的自动化 SOC 平台
一个实用的安全运营中心(SOC)实验室,用于事件检测、告警、响应排队和报告。
该项目使用 Wazuh 作为核心的 SIEM/XDR 平台,并集成了 Windows 端点遥测、Linux 监控、Suricata IDS 告警、基于 YARA 的文件检测、Telegram 分析师通知以及自动化 HTML 报告。
## 项目目标
本项目的目标是演示小规模 SOC 环境如何检测可疑活动、通知分析师,并支持安全的事件响应工作流。
平台不会自动执行有风险的操作,而是使用响应队列。这使得工作流更加安全,并且更贴近真实的 SOC 流程,因为在真实场景中,分析师在采取行动前需要对告警进行审查。
## 实验室架构
| 组件 | 用途 |
| ---------------- | --------------------------------------------------- |
| Wazuh Server | 核心 SIEM/XDR 服务器及仪表盘 |
| Windows Agent | 端点遥测、Sysmon 事件及防火墙日志 |
| Ubuntu Agent | Linux 遥测与 Suricata IDS 集成 |
| Kali Linux | 攻击模拟与检测测试 |
| Telegram Bot | 分析师通知与响应队列接口 |
| 报告生成器 | 从收集的告警生成 HTML 报告 |
## 项目截图
### SOC 概览仪表盘
自定义仪表盘提供了告警数量、Top agents、告警类型和严重程度分布的快速概览。
### 活跃的 Wazuh Agents
该实验室包含连接到 Wazuh Server 的活跃 Windows 和 Ubuntu agents。
### PowerShell 检测
可疑的 PowerShell 执行情况从 Windows 遥测中收集并显示在 Wazuh 中。
### Suricata IDS 告警
Suricata 在 Linux agent 上生成网络 IDS 事件。事件被写入 `eve.json` 并由 Wazuh 收集。
### YARA 检测
YARA 规则用于检测可疑的实验室文件,并生成自定义的 Wazuh 告警。
### 响应队列
具有潜在风险的响应操作会以 JSONL 格式排入队列,而不是立即执行。
### HTML SOC 报告
报告生成器会创建一份易于阅读的 HTML 报告,其中包含告警统计信息、Top agents 和 SOC 总结。
## 主要功能
* Wazuh Server 和 Dashboard 部署
* 使用 Wazuh Agent 和 Sysmon 进行 Windows 端点监控
* 使用 Wazuh Agent 进行 Linux 端点监控
* 通过 `eve.json` 集成 Suricata IDS
* 基于 YARA 的实验室文件检测
* 自定义 Wazuh 规则示例
* Nmap 扫描检测
* PowerShell 活动检测
* Windows 防火墙日志监控
* 带有分析师操作按钮的 Telegram 告警机器人
* 基于 JSONL 的安全响应队列
* Python HTML 报告生成器
* Systemd 服务和定时器自动化
## 检测场景
### PowerShell 活动
Windows 端点受到监控以检测 PowerShell 执行情况。事件通过 Sysmon 收集,并由 Wazuh 规则进行处理。
### 网络扫描
Kali Linux 用于生成测试流量。Nmap 扫描活动由 Wazuh 和 Suricata 检测。
### Suricata IDS 事件
Suricata 在 Linux agent 上运行,并将告警写入 `eve.json`。Wazuh Agent 读取此文件并将事件转发给 Wazuh Server。
### YARA 文件检测
YARA 规则用于识别实验室环境中的可疑测试文件。
## Telegram 告警和响应队列
Telegram 机器人会监控选定的 Wazuh 告警,并向分析师聊天发送通知。
支持的分析师操作:
* ACK
* 静默规则
* 添加至案例
* 将封禁 IP 加入队列
* 将禁用用户加入队列
响应操作以 JSONL 格式存储,可以在执行前进行审查。
## 报告
报告生成器根据收集到的告警和事件数据创建 HTML SOC 报告。
报告包含:
* 事件摘要
* 告警详情
* 分析师操作
* 排队的响应操作
* 基础 SOC 统计数据
## 仓库结构
```
automation/
telegram-bot/ Telegram alert bot
report-generator/ HTML report generator
wazuh/
rules/ Custom Wazuh rule examples
agent-configs/ Sanitized Wazuh config examples
active-response/ Safe response script examples
suricata/
eve-json-wazuh-integration.md
suricata.yaml.example
yara/
rules/ Lab YARA rule
samples/
Sanitized sample alerts, incidents and response queue files
reports/
Sample generated HTML report
docs/
Architecture, deployment and detection notes
screenshots/
Project screenshots
```
## 安全提示
此仓库不包含真实的凭证、Telegram token、`client.keys`、私人日志或完整的生产环境配置。
配置文件以 `.example` 文件的形式提供。密钥应通过环境变量传递。
## 快速开始
```
git clone https://github.com/insomn1a0/wazuh-automated-soc-platform.git
cd wazuh-automated-soc-platform
```
为 Telegram 机器人安装 Python 依赖项:
```
cd automation/telegram-bot
pip install -r requirements.txt
```
创建环境变量:
```
export TELEGRAM_BOT_TOKEN="your_token_here"
export TELEGRAM_CHAT_ID="your_chat_id_here"
```
运行机器人:
```
python3 telegram_alerts.py
```
## 项目状态
核心 SOC 工作流已在本地虚拟实验室中实施并测试:
* 检测
* 告警
* 分析师操作
* 响应排队
* 报告生成
本项目是作为专注于 SOC 自动化、端点监控、网络检测和事件响应的网络安全毕业项目开发的。
标签:Metaprompt, Python, Wazuh, 安全告警, 安全运营中心, 库, 应急响应, 无后门, 网络映射, 自动化SOC, 逆向工具