arslan0008/enterprise-siem-soc-platform

# 企业 SIEM SOC 平台 使用 Wazuh 构建的企业级 SIEM 和 SOC 平台，用于集中式安全监控、威胁检测、文件完整性监控、威胁情报丰富化以及自动化事件响应。 # Delta Radar — 企业级 SIEM 和 SOC 平台 ![Wazuh]        ## 概述 Delta Radar 是一个企业级 SIEM 平台，将来自 Windows 端点、Linux 服务器、IDS 传感器和 Web 应用程序的安全遥测数据集中到统一的 SOC 仪表板中。它支持实时检测、威胁狩猎、合规监控和自动化响应——部署在实时云 VPS 上，而不是本地实验室中。 ## 部署环境 | 组件 | 详情 | |-----------|---------| | 部署 | 云 VPS | | 操作系统 | Ubuntu Server 24.04 | | SIEM | Wazuh | | 搜索引擎 | OpenSearch | | 仪表板 | Wazuh Dashboard | | IDS | Suricata | | 端点监控 | Wazuh Agents (Windows & Linux) | | 远程访问 | SSH |  ## 架构 ``` Windows Endpoints ──┐ Linux Servers ──┤ Suricata (IDS) ──┤──► Wazuh Agents ──► Wazuh Manager ──► Threat Intelligence Web Applications ──┘ │ ▼ OpenSearch │ ▼ Wazuh Dashboard (SOC Analyst) ``` ## 功能 ### 集中式日志收集 从 Windows Event Logs、Sysmon、Linux Syslog、Auditd、Suricata、Apache、Nginx 和 SSH 获取日志——并在 OpenSearch 中进行规范化和索引。 ### 文件完整性监控 (FIM) 使用 `syscheck` 和 `report_changes="yes"` 实时监控文件的创建、修改、删除和哈希值变化。  ### 威胁情报丰富化 针对 VirusTotal、AbuseIPDB 和 MISP 自动执行 IOC 查询。告警在到达分析师之前会进行信誉数据丰富化。  ### 检测工程 包含 MITRE ATT&CK 映射的自定义 XML 规则和解码器。关联规则涵盖暴力破解、权限提升、持久化和横向移动。 ### 自动化主动响应 基于防火墙的 IP 封禁、账户锁定以及由规则条件触发的自定义脚本——对于常见攻击无需人工干预。 ### 合规监控 通过 SCA 获取 CIS 基准结果。映射到 PCI DSS、HIPAA、GDPR、NIST 和 CIS 框架。 ### 漏洞检测 基于 Agent 的 CVE 扫描，提供严重性分类和修复指南。  ## 检测能力 | 技术 | 覆盖范围 | |-----------|----------| | 暴力破解 (SSH、RDP、Web) | ✅ | | PowerShell 混淆 | ✅ | | Mimikatz / 凭据转储 | ✅ | | 注册表持久化 | ✅ | | 计划任务滥用 | ✅ | | Webshell 检测 | ✅ | | 恶意软件指标 | ✅ | | 文件完整性违规 | ✅ | | 威胁情报匹配 | ✅ | | 主动响应触发 | ✅ | ## 仪表板 ### 安全事件  ### MITRE ATT&CK  ### 已连接的 Agent  ## 事件工作流 ``` Log Ingestion → Decoder → Rule Match → MITRE Mapping → Threat Intelligence → Dashboard Alert → SOC Analyst → Incident Response ``` ## 仓库结构 ``` delta-radar-enterprise-siem/ ├── configs/ # Sanitized Wazuh configuration files │ ├── ossec.conf │ ├── local_rules.xml │ ├── local_decoder.xml │ └── integration.xml ├── rules/ # Custom detection rules and decoders ├── scripts/ # Python integrations (TI enrichment, active response) ├── architecture/ # Architecture and data flow diagrams ├── screenshots/ # Dashboard and detection evidence ├── docs/ # Deployment guide, detection notes, IR workflows └── README.md ``` ## 展示的技能 `SIEM 工程` · `检测工程` · `威胁狩猎` · `SOC 运营` `威胁情报` · `Python 自动化` · `Linux 管理` · `Windows 安全` `XML 规则开发` · `事件响应` · `日志分析` · `MITRE ATT&CK` ## 未来改进 - SOAR 集成 (TheHive / Shuffle) - YARA 规则扫描 - Sigma 规则转换 pipeline - CloudTrail / AWS 日志摄取 - Slack / webhook 告警 - 基于 Docker 的部署 ## 许可证 MIT 许可证 — 有关详细信息，请参阅 [LICENSE](https://github.com/arslan0008/enterprise-siem-soc-platform/blob/9e5a8ef71564526ef7daad98bcd4b566c5d0d3b6/LICENSE)。

标签：AMSI绕过, DNS 反向解析, Metaprompt, Wazuh, x64dbg, 威胁检测, 安全运营中心, 网络安全审计, 网络映射, 自动化响应, 逆向工具, 速率限制