gokulshivaav/Networking-Assignment-2-Endpoint-Security

端点安全事件响应与自动化修复 网络作业 2 学生：Gokul Shiva Kumar 学号：20097813 项目概述 本项目旨在在一个受控的实验室环境中演示端点监控、威胁检测、事件响应和自动化修复。该解决方案使用 Wazuh SIEM 收集并分析来自 Windows 和 Linux 系统的安全事件。此外，还使用 Sysmon、PowerShell 日志记录和 Linux auditd 收集了额外的遥测数据。 该项目还包含一个基于 Docker 的 AI 安全组件，使用 Ollama 和 Llama 3.2 对安全警报进行分类。自动化修复操作是通过预定义且加入白名单的脚本实现的，以确保这些操作安全、可审计且可撤销。 项目目标 本项目的目标如下： * 构建安全的端点监控环境。 * 配置 Windows 和 Linux 遥测数据收集。 * 将安全日志转发至 Wazuh SIEM。 * 创建并验证安全检测。 * 实现基于 AI 的警报分类。 * 开发自动化修复操作。 * 演示检测、响应和恢复流程。 * 维护安全且隔离的实验室环境。 系统架构 ``` +----------------------+ | Windows 11 Host | |----------------------| | Sysmon | | PowerShell Logging | | Wazuh Agent | +----------+-----------+ | | v +----------------------+ | Ubuntu Wazuh Server | |----------------------| | Wazuh Manager | | Wazuh Dashboard | | auditd | +----------+-----------+ | | v +----------------------+ | Docker AI Platform | |----------------------| | Ollama | | Llama 3.2 | | AI Classifier | | Remediation Scripts | +----------------------+ ``` 使用的技术 | 技术 | 用途 | | ------------------ | ------------------------------ | | Wazuh | SIEM 与安全监控 | | Wazuh Agent | 端点日志收集 | | Windows 11 | 端点系统 | | Ubuntu Server | Wazuh Manager 宿主机 | | Sysmon | 详细的 Windows 遥测数据 | | PowerShell Logging | PowerShell 活动监控 | | auditd | Linux 审计日志 | | Docker | 容器平台 | | Ollama | 本地 LLM 运行时 | | Llama 3.2 | AI 警报分类 | | Python | 自动化脚本编写 | 实验室环境 Windows 端点 * Windows 11 * 已安装 Wazuh Agent * 已配置 Sysmon * 已启用 PowerShell 操作日志记录 * 已执行 Windows 防火墙测试 Linux 服务器 * Ubuntu Server * Wazuh Manager * Wazuh Dashboard * 已启用 auditd * 已安装 Docker 安全监控配置 Windows 监控 Windows 端点配置了 Sysmon 和 PowerShell 日志记录，以提供对进程执行、用户活动、命令执行和安全事件的详细可见性。Wazuh agent 将这些日志转发至 Wazuh Manager 进行分析。 Linux 监控 Linux 服务器使用 auditd 监控与安全相关的活动，包括文件创建、身份验证事件和管理操作。这些事件通过 Wazuh 进行收集和可视化。 检测用例 以下检测已成功生成并观察到： 用户账户创建 创建了一个测试用户账户，Wazuh 生成了指示账户创建活动的警报。 用户账户删除或禁用 用户账户禁用活动被检测到并记录在 Wazuh 中。 用户组更改 对用户组成员身份的更改已被成功检测并报告。 账户发现活动 诸如 net user 之类的命令触发了账户发现警报。 PowerShell 活动监控 收集并分析了 PowerShell 操作日志，以识别管理活动。 Sysmon 监控 Sysmon 生成了详细的进程和注册表监控事件，这些事件被转发至 Wazuh。 防火墙配置更改 在测试期间执行并验证了防火墙禁用和重新启用的活动。 AI 警报分类 使用 Ollama 和 Llama 3.2 语言模型开发了一个 AI 警报分类组件。 AI 分类器接收安全警报，并确定该活动是否可疑。分类过程有助于为分析师提供额外的上下文，并支持事件响应期间的决策。 分类示例： ``` Alert: User account created on Windows host Classification: SUSPICIOUS ``` AI 组件没有直接的命令执行权限，无法独立执行修复操作。 自动化修复 实现了两项预定义的修复操作。 进程终止 可以使用加入白名单的脚本终止可疑进程。 操作示例： ``` taskkill /F /IM notepad.exe ``` 验证确认该进程已被成功终止。 用户账户禁用 预定义的修复脚本可以禁用可疑的用户账户。 操作示例： ``` net user testuser123 /active:no ``` 验证确认账户状态已从活跃变为禁用。 Docker 部署 AI 安全技术栈使用 Docker Compose 部署。 Docker 组件包括： * Ollama 容器 * Llama 3.2 模型 * Python 自动化脚本 在测试期间验证了容器状态，且在整个项目过程中保持正常运行。 安全控制 该项目包含多项安全控制措施： * 隔离的实验室环境 * 不使用活跃恶意软件 * 仅限预定义的修复操作 * 加入白名单的命令执行 * 对修复操作进行人工验证 * 对执行的操作进行完整的日志记录和审计 这些控制措施降低了意外影响系统的风险。 收集的证据 在测试期间收集了以下证据： * Wazuh agent 注册 * 端点连接验证 * Sysmon 事件生成 * PowerShell 日志记录事件 * Linux auditd 监控 * 用户账户创建警报 * 用户账户禁用警报 * 组成员身份修改警报 * 账户发现警报 * 威胁狩猎仪表板截图 * AI 分类输出 * 进程终止验证 * Docker 容器状态验证 * 防火墙禁用证据 * 防火墙重新启用证据 仓库内容 ``` architecture.txt docker-compose.yml ai_classifier.py remediation.py README.md Screenshots/ ``` 项目成果 该项目成功演示了端点安全监控、安全事件收集、威胁检测、AI 辅助警报分类以及自动化修复。 Windows 和 Linux 安全事件已在 Wazuh 中被成功收集和分析。检测规则针对用户管理活动、发现命令、PowerShell 执行和 Sysmon 事件生成了警报。AI 组件对可疑警报进行了分类，同时修复脚本演示了安全且可审计的遏制操作。 该实现满足了项目目标，同时维持了安全的操作控制并支持了事件响应活动。 作者 Gokul S 端点安全事件响应与自动化修复评估

标签：AI合规, AI告警分类, AI风险缓解, Wazuh, 安全运营, 库, 应急响应, 扫描框架, 模块化设计, 版权保护, 终端安全, 自动化修复, 请求拦截, 逆向工具