gowry12/soar-playbook-ssh-bruteforce

# 使用 Wazuh 和 Shuffle SOAR 进行 SSH 暴力破解检测与自动化响应 ## 概述 本项目演示了一个自动化安全运营中心 (SOC) 工作流程，使用 Wazuh SIEM 检测 SSH 暴力破解攻击，并通过 Shuffle SOAR 自动化进行响应。 该工作流使用 VirusTotal 威胁情报丰富告警，并在检测到恶意活动时通知安全分析师，从而减少手动调查工作量并提高响应效率。 ## 架构  该架构遵循 SIEM 到 SOAR 的工作流程： 1. Wazuh 检测到 SSH 暴力破解活动。 2. 告警通过 webhook 集成转发至 Shuffle SOAR。 3. Shuffle 提取源 IP 地址。 4. VirusTotal 执行威胁情报丰富。 5. 决策逻辑判断该 IP 是否为恶意。 6. 必要时向 SOC 分析师发送电子邮件通知。 ## 使用的技术 | 工具 | 用途 | | ----------------- | ----------------------------------- | | Wazuh | XDR / SIEM 平台 | | Shuffle SOAR | 安全自动化与编排 | | VirusTotal | 威胁情报丰富 | | Kali Linux | 攻击模拟 | | Email 集成 | 分析师通知 | ## 检测工作流程 ### SSH 暴力破解检测 Wazuh 关联规则监控身份验证日志，并在短时间内发生多次失败登录尝试时生成告警。 ### 告警转发 检测到的告警以 JSON 格式通过 webhook 集成转发至 Shuffle SOAR。 ### 威胁情报丰富 Shuffle 使用攻击者 IP 地址查询 VirusTotal，并评估其信誉分数。 ### 自动化响应 根据丰富结果： * 恶意 IP → 向分析师发送电子邮件通知。 * 非恶意 IP → 记录事件但不发送通知。 ## 测试与验证 ### 场景 1 – SSH 暴力破解攻击 使用 Kali Linux 系统中的 Hydra 模拟了 SSH 暴力破解攻击。 结果： * Wazuh 成功检测到攻击。 * 告警已转发至 Shuffle SOAR。 * VirusTotal 丰富已成功完成。 ### 场景 2 – 电子邮件通知验证 由于测试是使用个人 IP 地址进行的，VirusTotal 未将该 IP 归类为恶意。 为了验证通知功能，使用了模拟的恶意结果。 结果： * 电子邮件通知已成功生成。 * 告警详情已发送至分析师邮箱。 ## 关键成果 * 自动化 SSH 暴力破解检测 * SIEM 到 SOAR 的集成 * VirusTotal 威胁情报丰富 * 条件化告警处理 * 自动化分析师通知 * 减少误报 ## MITRE ATT&CK 映射 | 技术 ID | 技术 | | ------------ | --------------------------------------------- | | T1110 | 暴力破解 (Brute Force) | | T1078 | 有效账户 (潜在后续活动) | ## 未来增强 * 自动化 IP 封锁 * ServiceNow 集成 * Jira 工单创建 * 多源告警关联 * 高级响应自动化 ## 项目报告 详细的技术文档包含于： **SOAR Playbook Report.pdf** ## 作者 **Gowry N** SOC 分析师 | 网络安全爱好者

标签：SOAR, SSH暴力破解检测, Wazuh