vijayJG/Security-Operations-Center-Lab-Wazuh-SIEM-and-XDR-integrated-with-Local-LLM-Ollama-

# Security-Operations-Center-Lab-Wazuh-SIEM-and-XDR-integrated-with-Local-LLM-Ollama Wazuh SIEM/XDR 家庭实验室：Ubuntu Manager 与 Windows Agent。实现了文件完整性监控 (FIM) 以进行实时检测。集成了 Ollama (Llama 3.1:8b) 作为本地 AI 助手，用于安全日志分析和事件响应。展示了端点监控和 AI 驱动的 SOC 分析。 SOCAI 是一个本地 AI 驱动的 SOC（安全运营中心）助手，它集成了： Wazuh SIEM（日志收集 + 告警） Windows 端点 agent 监控 Ollama 本地 LLM (Llama 3.1 8B) Python 自动化引擎 跨机器 API 通信（Ubuntu ↔ Windows） 该系统将原始安全告警转换为人类易读的 SOC 分析师见解，包括： 严重性分类 攻击解读 MITRE ATT&CK 映射 建议的修复步骤 --> 架构 ┌────────────────────────┐ │ Windows Host │ │------------------------│ │ Ollama LLM Server │ │ llama3.1:8b │ │ Port: 11434 │ └─────────┬──────────────┘ │ HTTP API │ (局域网访问) ▼ ┌────────────────────────────────────────────────────┐ │ Ubuntu 22.04 VM (VirtualBox) │ │----------------------------------------------------│ │ Wazuh Manager │ │ Wazuh Dashboard │ │ Wazuh API │ │ Python SOC-AI Engine │ └────────────────────────────────────────────────────┘ ▲ │ Windows Agent (端点) --> 使用的工具与技术 # 允许从网络访问 Ollama New-NetFirewallRule -DisplayName "SOCAI Ollama Access" ` -Direction Inbound ` -Protocol TCP ` -LocalPort 11434 ` -Action Allow # 安装依赖项 sudo apt update # 安装 Python 依赖项 sudo apt install python3-pip -y pip install requests # 检查 Wazuh agent 状态 sudo systemctl status wazuh-agent 问题：Ubuntu VM 无法访问 API 原因：默认绑定到 127.0.0.1 解决方案：使用以下配置强制绑定： OLLAMA_HOST=0.0.0.0:11434 ❌ 问题 2：防火墙阻止 VM 访问 问题：Ubuntu 拒绝连接 解决方案： 为端口 11434 创建了入站防火墙规则 ❌ 问题 3：Ollama 在 localhost 模式下自动重启 问题：进程不断回退到 127.0.0.1 解决方案： 终止了后台启动器 禁用了自动启动行为 实施了手动服务器控制 ❌ 问题 4：VirtualBox 网络配置混淆 问题：对 IP 范围的误解 解决方案： 确定了正确的 IP 映射： Windows: 192.168.0.10 Ubuntu: 192.168.0.11 ❌ 问题 5：Python 依赖限制 (PEP 668) 问题：`pip install` 被阻止 解决方案： 使用系统软件包或虚拟环境 本项目展示了： #SIEM 架构设计 #端点安全监控 #用于网络安全 的 LLM 集成 #REST API 工程 #跨平台网络 #事件分析自动化 #SOC 工作流模拟 总结陈述 本项目展示了一个功能齐全的 AI 辅助安全运营中心原型，将现实世界的 SIEM 工具与本地 LLM 推理相结合，以模拟智能网络安全分析。

标签：AI风险缓解, 安全运营中心, 安全运营中心实验室, 库, 应急响应, 本地大模型, 网络映射, 逆向工具