aishabanuu/wazuh-security-incident-response-dashboard

GitHub: aishabanuu/wazuh-security-incident-response-dashboard

该项目演示了如何使用 Wazuh SIEM 搭建安全事件响应 Dashboard,覆盖监控、检测、调查与威胁情报的完整事件响应生命周期。

Stars: 0 | Forks: 0

# 使用 Wazuh 的安全事件响应 Dashboard ## 概述 本项目演示了如何使用 Wazuh SIEM 部署和操作安全事件响应 Dashboard。 该环境包含: - Ubuntu Server VM(Wazuh Manager、Indexer、Dashboard) - Kali Linux VM(Wazuh Agent) 本项目展示了完整的事件响应生命周期: - 监控 - 检测 - 调查 - 事件响应 - 威胁情报 ## 项目架构 ``` Kali Linux Agent | v Wazuh Manager | v Filebeat | v Wazuh Indexer | v Wazuh Dashboard ``` ## 实验环境 ### 硬件 - MacBook Air M1 - VMware Fusion ### 操作系统 - Ubuntu Server - Kali Linux ### 工具 - Wazuh 4.13.1 - OpenSearch - Filebeat - VMware Fusion ## 项目目标 本项目的目标是实现一个能够执行以下操作的 SIEM 平台: - 从 endpoint 收集日志 - 检测可疑活动 - 调查安全事件 - 将事件映射到 MITRE ATT&CK - 提供集中式的安全监控 ## Agent 部署 Kali Linux endpoint 通过 Wazuh Agent 连接到 Wazuh Manager。 ### 验证 Agent 连接 ``` sudo /var/ossec/bin/agent_control -l ``` 预期输出: ``` ID: 001, Name: kali, Active ``` ## 已测试的安全场景 ### 1. 用户创建检测 命令: ``` sudo useradd attacker ``` Wazuh 检测: - Rule ID:5902 - 严重级别:8 MITRE ATT&CK: - T1136 – Create Account ### 2. 密码修改检测 命令: ``` sudo passwd attacker ``` Wazuh 检测: - Rule ID:5555 描述: - 用户密码已更改 ### 3. 权限提升检测 命令: ``` sudo cat /etc/shadow ``` Wazuh 检测: - Rule ID:5402 MITRE ATT&CK: - T1548.003 – Sudo and Sudo Caching ### 4. 文件完整性监控 命令: ``` sudo touch /etc/test-wazuh-file ``` 目的: - 测试文件完整性监控能力 ## 监控阶段 Wazuh 持续监控: - 用户活动 - 身份验证事件 - 系统日志 - 文件更改 - 特权命令 收集的日志被转发到 Wazuh Manager。 ## 检测阶段 Wazuh 规则引擎分析了传入的事件,并针对以下情况生成告警: - 用户账户创建 - 密码修改 - Sudo 执行 - 文件修改 ## 调查阶段 安全分析师可以使用以下功能调查事件: - 安全事件 - 威胁狩猎 - MITRE ATT&CK Dashboard - 告警详情 调查内容包括: - 事件来源 - 时间戳 - 涉及的用户 - 执行的命令 - 触发的规则 ## 事件响应阶段 响应措施包括: - 识别受影响的 host - 审查日志 - 核实用户活动 - 遏制可疑行为 - 记录发现 ## 威胁情报 Wazuh 将告警映射到 MITRE ATT&CK 技术。 示例: | Rule | Technique | |--------|----------| | 5902 | T1136 Create Account | | 5402 | T1548.003 Sudo and Sudo Caching | 这为攻击者行为提供了上下文,并协助进行威胁狩猎。 ## 结果 该平台成功地: - 连接并监控了 Kali Linux endpoint - 生成了安全告警 - 收集并集中管理了日志 - 将事件映射到了 MITRE ATT&CK - 支持了威胁狩猎活动 - 演示了事件响应工作流 ## 截图 在此处添加截图: - Wazuh Dashboard 概览 - 已连接的 Agent - 安全事件 - 威胁狩猎 - 用户创建告警 - 密码修改告警 - MITRE ATT&CK 映射 ## 展示的技能 - SIEM 部署 - 安全监控 - 日志分析 - 威胁狩猎 - 事件调查 - Linux 管理 - 事件响应 - Wazuh 管理 ## 作者 Aisha
标签:Wazuh, x64dbg, 安全事件响应, 安全运营, 扫描框架, 虚拟化实验环境