BitByHussain/Wazuh-Siem-Incident-Response-FIM-Lab

GitHub: BitByHussain/Wazuh-Siem-Incident-Response-FIM-Lab

基于 Wazuh SIEM 的虚拟机实验项目,通过文件完整性监控、VirusTotal 威胁情报集成和自动化主动响应脚本,实现端到端的威胁检测与自动化事件响应。

Stars: 0 | Forks: 0

# Wazuh-Siem-自动化-Incident-Response-Lab 在虚拟机上使用 Wazuh SIEM 进行自动化威胁检测、FIM 和事件响应,重点展示关键发现与修复步骤 # 🛡️使用 Wazuh SIEM 进行自动化威胁检测与事件响应 ## 🎯 项目概述 本项目涉及在虚拟机上搭建 Wazuh SIEM 实验环境,部署集中式安全管理器和终端监控代理。本项目的目标是利用文件完整性监控(FIM)检测未经授权的系统更改,集成 VirusTotal 以捕获恶意文件,并设置自动化脚本以立即阻止攻击。 ## 🌐 网络拓扑图 ``` [ External Cloud ] | (API Queries) | v +--------------------------+ (Port 443) +-------------------+ | VirusTotal API | <------------------------- | Security Analyst | +--------------------------+ +-------------------+ ^ | Hash | | Threat Score | v +-------------------------------------------------+ | Wazuh Manager & Dashboard (Ubuntu Server) | | - Log Analysis Engine & Rule Matching | | - Active Response Commander | +-------------------------------------------------+ ^ | | (FIM Logs) | (Trigger Response Script) | v +-------------------------------------------------+ | Wazuh Agents (Linux Endpoints) | | - Real-Time File Integrity Monitoring (FIM) | | - Local Active Response Execution | +-------------------------------------------------+ ``` ## 🛠️ 使用的工具 * **Wazuh SIEM 平台:** 用于日志收集、监控和告警的集中式安全管理器和终端代理。 * **VirusTotal API:** 威胁情报集成,用于自动比对文件哈希值并扫描恶意软件。 * **VMware:** 用于托管和运行实验环境虚拟机的虚拟化平台。 * **Bash Shell:** 用于创建在 Linux 代理上自动删除文件的自定义脚本。 ## 📋 项目步骤 ### 1. 实验环境部署与代理注册: * 使用 VMware 将 Wazuh Server 和 Wazuh Agent 作为虚拟机进行部署。 * 验证网络连通性,并成功将终端代理注册到集中式管理器。 ### 2. 文件完整性监控(FIM)配置: * 在 Wazuh Server 上配置 FIM 设置,以监控终端上的关键目录。 * 启用实时审计,以追踪未经授权的文件创建、修改和删除操作并发出告警。 ### 3. 威胁情报集成: * 将 VirusTotal API 直接集成到集中式 Wazuh 管理器配置中。 * 实现了针对终端文件哈希值进行全局威胁情报扫描与自动比对的流程。 ### 4. 主动响应自动化: * 激活了 Wazuh 生态系统中的主动响应功能。 * 实现了一个自定义脚本,以便在规则触发后立即自动遏制和缓解终端上的威胁。 ## 📌 关键发现 * **实时修改告警:** 每当受监控目录中发生未经授权的文件更改或创建时,Wazuh Server 都会立即捕获并生成高严重性告警。 * **自动化恶意软件检测:** 当恶意测试文件被引入终端时,VirusTotal 集成成功提取了其哈希值,将其与全球威胁数据进行比对,并自动将其标记为恶意软件。 * **即时事件缓解:** 在恶意软件检测告警触发的几秒钟内,自定义的主动响应脚本就会在终端上自动触发。它成功隔离或删除了威胁,证明该系统可以立即遏制攻击,而无需等待分析师手动干预。 ## 💻 截图 **为了提供视觉证据和清晰说明,以下是来自 Wazuh 管理器的截图,展示了实验配置、关键结果和检测发现。** * 初始代理部署设置。

create agent agent

* 在 Wazuh Agent 上配置文件完整性监控(FIM)。 file intigrity * Wazuh 事件仪表板显示有关添加到受监控的 /tmp/malware 目录中的文件的告警,确认文件完整性监控设置生效。

file detection

* 在 Wazuh Manager 中配置 VirusTotal 集成。

virus total setup

* 使用 EICAR 测试文件模拟威胁以验证 VirusTotal 集成

image virus total detection

* 配置用于自动缓解的自定义主动响应脚本

image

* 为了验证自动缓解工作流,在终端上下载了恶意测试文件,这立即触发 Wazuh SIEM 记录告警并执行主动响应脚本以自动删除威胁。

image 6969 image

## 📝 经验教训 * **集中式可见性:** 获得了对客户端-服务器架构的实践理解,学习了集中式管理器如何从分布式终端聚合、解析和可视化日志。 * **风险管理:** 认识到主动响应需要严格的测试和防护措施,以确保自动化操作不会意外中断合法的业务运营或阻止正常用户的操作。 * **捕获未经授权的更改:** 学习了如何通过建立文件基线,使 SIEM 能够检测对关键系统文件的实时修改、添加或删除。 * **加速分类处理:** 体验了自动化富集如何通过即时为告警添加风险评分和上下文,从而大幅缩短 SOC 分析师的调查时间。 ## ⏭️ 下一步计划 * **攻击模拟:** 在终端代理上安装 Atomic Red Team,以执行映射到 MITRE ATT&CK 矩阵的脚本化网络攻击,从而主动测试和验证检测能力。 * **网络监控扩展:** 在实验网络上部署开源网络 IDS,并配置 Wazuh 管理器以摄取其日志文件,从而将网络级异常与主机级事件进行关联。 * **云安全态势跟踪 (AWS/Azure):** 通过配置与公有云提供商的 API 级集成来扩展管理器的监控边界,以监控云存储桶、IAM 用户修改和活动的配置更改。 * **合规性报告:** 将当前的检测规则和自定义告警输出映射到标准安全框架(如 MITRE ATT&CK、PCI-DSS 或 ISO 27001),以模拟真实的合规性审计和执行级 SOC 报告。
标签:x64dbg, 安全实验环境, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 网络信息收集, 自动化响应