BitByHussain/Wazuh-Siem-Incident-Response-FIM-Lab
GitHub: BitByHussain/Wazuh-Siem-Incident-Response-FIM-Lab
基于 Wazuh SIEM 的虚拟机实验项目,通过文件完整性监控、VirusTotal 威胁情报集成和自动化主动响应脚本,实现端到端的威胁检测与自动化事件响应。
Stars: 0 | Forks: 0
# Wazuh-Siem-自动化-Incident-Response-Lab
在虚拟机上使用 Wazuh SIEM 进行自动化威胁检测、FIM 和事件响应,重点展示关键发现与修复步骤
# 🛡️使用 Wazuh SIEM 进行自动化威胁检测与事件响应
## 🎯 项目概述
本项目涉及在虚拟机上搭建 Wazuh SIEM 实验环境,部署集中式安全管理器和终端监控代理。本项目的目标是利用文件完整性监控(FIM)检测未经授权的系统更改,集成 VirusTotal 以捕获恶意文件,并设置自动化脚本以立即阻止攻击。
## 🌐 网络拓扑图
```
[ External Cloud ]
|
(API Queries)
|
v
+--------------------------+ (Port 443) +-------------------+
| VirusTotal API | <------------------------- | Security Analyst |
+--------------------------+ +-------------------+
^ |
Hash | | Threat Score
| v
+-------------------------------------------------+
| Wazuh Manager & Dashboard (Ubuntu Server) |
| - Log Analysis Engine & Rule Matching |
| - Active Response Commander |
+-------------------------------------------------+
^ |
| (FIM Logs) | (Trigger Response Script)
| v
+-------------------------------------------------+
| Wazuh Agents (Linux Endpoints) |
| - Real-Time File Integrity Monitoring (FIM) |
| - Local Active Response Execution |
+-------------------------------------------------+
```
## 🛠️ 使用的工具
* **Wazuh SIEM 平台:** 用于日志收集、监控和告警的集中式安全管理器和终端代理。
* **VirusTotal API:** 威胁情报集成,用于自动比对文件哈希值并扫描恶意软件。
* **VMware:** 用于托管和运行实验环境虚拟机的虚拟化平台。
* **Bash Shell:** 用于创建在 Linux 代理上自动删除文件的自定义脚本。
## 📋 项目步骤
### 1. 实验环境部署与代理注册:
* 使用 VMware 将 Wazuh Server 和 Wazuh Agent 作为虚拟机进行部署。
* 验证网络连通性,并成功将终端代理注册到集中式管理器。
### 2. 文件完整性监控(FIM)配置:
* 在 Wazuh Server 上配置 FIM 设置,以监控终端上的关键目录。
* 启用实时审计,以追踪未经授权的文件创建、修改和删除操作并发出告警。
### 3. 威胁情报集成:
* 将 VirusTotal API 直接集成到集中式 Wazuh 管理器配置中。
* 实现了针对终端文件哈希值进行全局威胁情报扫描与自动比对的流程。
### 4. 主动响应自动化:
* 激活了 Wazuh 生态系统中的主动响应功能。
* 实现了一个自定义脚本,以便在规则触发后立即自动遏制和缓解终端上的威胁。
## 📌 关键发现
* **实时修改告警:** 每当受监控目录中发生未经授权的文件更改或创建时,Wazuh Server 都会立即捕获并生成高严重性告警。
* **自动化恶意软件检测:** 当恶意测试文件被引入终端时,VirusTotal 集成成功提取了其哈希值,将其与全球威胁数据进行比对,并自动将其标记为恶意软件。
* **即时事件缓解:** 在恶意软件检测告警触发的几秒钟内,自定义的主动响应脚本就会在终端上自动触发。它成功隔离或删除了威胁,证明该系统可以立即遏制攻击,而无需等待分析师手动干预。
## 💻 截图
**为了提供视觉证据和清晰说明,以下是来自 Wazuh 管理器的截图,展示了实验配置、关键结果和检测发现。**
* 初始代理部署设置。
* Wazuh 事件仪表板显示有关添加到受监控的 /tmp/malware 目录中的文件的告警,确认文件完整性监控设置生效。
* Wazuh 事件仪表板显示有关添加到受监控的 /tmp/malware 目录中的文件的告警,确认文件完整性监控设置生效。
标签:x64dbg, 安全实验环境, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 网络信息收集, 自动化响应