frustberg/Enterprise-Security-Operations-Threat-Detection-Platform-using-Wazuh-SIEM

# 使用 Wazuh SIEM 的企业安全运营威胁检测平台 在 Ubuntu Server 上构建了企业级 Wazuh SIEM 实验环境，具备 Windows 端点监控、文件完整性监控 (FIM)、威胁检测、安全分析以及面向 SOC 的威胁狩猎能力。 ## 概述 本项目演示了使用 Wazuh 部署和企业化应用企业级安全信息与事件管理 (SIEM) 平台的过程。该环境提供集中式安全监控、端点可见性、文件完整性监控、威胁检测、漏洞评估和威胁狩猎功能。 ## 核心功能 - 集中式安全监控 - 端点检测与可见性 - 文件完整性监控 (FIM) - 威胁检测与告警 - 漏洞检测 - MITRE ATT&CK 映射 - 安全事件关联 - 威胁狩猎工作流 - 检测工程实验室 - SOC 运营模拟 ## 架构 Windows Endpoint (Wazuh Agent) | v Wazuh Manager | v Filebeat | v OpenSearch Indexer | v Wazuh Dashboard ## 基础设施 ### Wazuh Manager - Ubuntu Server 26.04 LTS - 4 vCPU - 6 GB RAM - 80 GB Storage - VirtualBox Deployment ### Endpoint - Windows 11 - Wazuh Agent 4.12.0 - File Integrity Monitoring Enabled ## 已实施的安全控制 ### 端点监控 - 安全日志收集 - 系统日志收集 - 应用程序日志收集 - Agent 健康状况监控 ### 文件完整性监控 - 文件创建检测 - 文件修改检测 - 文件删除检测 - 实时监控 ### 威胁检测 - 身份验证监控 - 持久化监控 - 权限提升监控 - 事件关联 ## 检测用例 ### 未经授权的文件修改 检测受监控目录内的未经授权修改。 ### 暴力破解检测 检测反复的身份验证失败。 ### 可疑的 PowerShell 活动 检测 PowerShell 执行事件和可疑的脚本活动。 ## MITRE ATT&CK 覆盖范围 - T1110 – Brute Force - T1059 – Command and Scripting Interpreter - T1053 – Scheduled Task - T1078 – Valid Accounts - T1070 – Indicator Removal on Host - T1087 – Account Discovery - T1485 – Data Destruction ## 威胁狩猎场景 - 可疑登录调查 - 特权用户活动审查 - 文件篡改调查 - 持久化机制检测 - 端点活动分析 ## 验证活动 - 文件创建 - 文件修改 - 文件删除 - 失败的登录尝试 - 服务创建事件 - 计划任务创建 ## 未来增强功能 ### Sysmon 集成 - 进程监控 - 注册表监控 - 网络监控 ### Active Response - 自动化 IP 封锁 - 进程终止 - 端点隔离 ### 威胁情报 - VirusTotal 集成 - MISP 集成 - AlienVault OTX 集成 ### 检测工程 - 自定义规则 - Sigma 规则转换 - 检测即代码 ### 云安全监控 - AWS CloudTrail 集成 - Azure 活动日志 - 多 Agent 环境 ## 展现的技能 - SIEM 工程 - Wazuh 管理 - 威胁检测 - 检测工程 - 威胁狩猎 - 安全监控 - 事件响应 - OpenSearch - Ubuntu 管理 - Windows 安全 - MITRE ATT&CK - 文件完整性监控 ## 项目成果 成功部署并配置了基于 Wazuh 的 SIEM 平台，上线了 Windows 端点，实施了文件完整性监控，验证了威胁检测能力，并为高级 SOC 运营和检测工程建立了可扩展的基础。

标签：AMSI绕过, Wazuh, x64dbg, 威胁检测, 安全运营中心, 端点安全, 管理员页面发现, 网络映射, 补丁管理