adibirzu/OCI-Wazuh

# OCI Wazuh 检测实验室 用于 OCI 的独立且可附加到 OCI-DEMO 的 Wazuh 4.14.x 检测实验室。 ## 快速开始 如需完整的部署/演示/销毁流程，请参阅 [docs/END_TO_END_DEMO.md](docs/END_TO_END_DEMO.md)。 ``` make bootstrap cp terraform/terraform.tfvars.example terraform/terraform.tfvars # 编辑 terraform/terraform.tfvars make up make e2e make goad-discover make wazuh-log-analytics make log-analytics-bridge make wazuh-content make opensearch-oci make goad-up make goad-validate make simulate-detections make validate-real-oci-logs make validate-opensearch-oci ``` 如果开发租户对频繁的 SSH 探测进行了限流，请优先使用默认的 SSH ControlMaster 路径，并在重试前等待 2-5 分钟。仅在独立调试时使用 `WAZUH_SSH_CONTROL=none`。 ## OCI-DEMO 附加 OCI-DEMO 应将此仓库添加为 `external/oci-wazuh-demo`，并暴露一个 passthrough 目标： ``` make wazuh-demo-up ``` ## 销毁 ``` make down ``` `make down` 会首先运行 `make goad-down`。对于复用的 GOAD 主机，这会在 Terraform 销毁演示专用的 OCI 资源之前，移除 Wazuh Windows 代理、Sysmon 服务、暂存文件以及 Wazuh 管理器的代理记录。 ## 摄取模式 - `streaming`：来自 OCI Logging 的 VCN Flow Logs 通过 Service Connector Hub 发送至 OCI Streaming，并由 Wazuh 节点消费。OCI Audit 由 Wazuh 节点从真实的 OCI Audit API 收集。 - `object_storage`：来自 Service Connector Hub 的 VCN Flow Logs 发送至 Object Storage，由 Wazuh 节点轮询。OCI Audit 仍使用 Audit API 路径。 - `direct_api`：用于开发或受限租户的仅审计回退方案。 - `log_analytics_bridge`：OS/EDR/Wazuh 警报也会发送至 OCI Log Analytics，用于关联仪表板。 默认的开发路径是 `streaming`。 ## OpenSearch 后端 默认后端是 Wazuh all-in-one OpenSearch 索引器。运行： ``` make opensearch-oci make validate-opensearch-oci ``` 这会创建索引模板、数据视图、保存的搜索，以及专用于 `oci-audit-*` 和 `oci-flow-*` 索引的 `OCI Logs Overview` 仪表板。 要使用 OCI Search Service with OpenSearch 而不是 AIO 索引器，可以提供一个现有的 endpoint： ``` OCI_WAZUH_OPENSEARCH_BACKEND=oci_opensearch \ OCI_WAZUH_OPENSEARCH_URL=https://:9200 \ OCI_WAZUH_DASHBOARD_URL=https://:5601 \ OCI_WAZUH_OPENSEARCH_USERNAME= \ OCI_WAZUH_OPENSEARCH_PASSWORD= \ make opensearch-oci ``` 或者在本地 `terraform/terraform.tfvars` 中设置 `create_oci_opensearch = true`，并将主密码/哈希仅保留在本地 tfvars、环境变量或 OCI Vault 中。 ## 仪表板 - OCI Log Analytics 查询包：[dashboards/log-analytics/oci-wazuh-dashboard-queries.json](dashboards/log-analytics/oci-wazuh-dashboard-queries.json) - Wazuh 保存的搜索/视图指南：[dashboards/wazuh/oci-wazuh-views.md](dashboards/wazuh/oci-wazuh-views.md) ## 教学Wiki 在将 Wazuh 和 OCI Log Analytics 作为公司安全态势演示进行展示时，请使用课程包： - 托管文档：https://adibirzu.github.io/OCI-Wazuh/ - 模块索引：[docs/wiki/WAZUH_LOG_ANALYTICS_MODULE_INDEX.md](docs/wiki/WAZUH_LOG_ANALYTICS_MODULE_INDEX.md) - 架构与工作流：[docs/wiki/WAZUH_LOG_ANALYTICS_ARCHITECTURE.md](docs/wiki/WAZUH_LOG_ANALYTICS_ARCHITECTURE.md) - 浏览器着陆页：[docs/wiki/index.html](docs/wiki/index.html) - 实践演练：[docs/wiki/WAZUH_LOG_ANALYTICS_HANDS_ON.md](docs/wiki/WAZUH_LOG_ANALYTICS_HANDS_ON.md) - 引导者指南：[docs/wiki/WAZUH_LOG_ANALYTICS_FACILITATOR_GUIDE.md](docs/wiki/WAZUH_LOG_ANALYTICS_FACILITATOR_GUIDE.md) - 参与者讲义：[docs/wiki/WAZUH_LOG_ANALYTICS_PARTICIPANT_HANDOUT.md](docs/wiki/WAZUH_LOG_ANALYTICS_PARTICIPANT_HANDOUT.md) - 查询手册：[docs/wiki/WAZUH_LOG_ANALYTICS_QUERY_COOKBOOK.md](docs/wiki/WAZUH_LOG_ANALYTICS_QUERY_COOKBOOK.md) - 评估测试：[docs/wiki/WAZUH_LOG_ANALYTICS_ASSESSMENT.md](docs/wiki/WAZUH_LOG_ANALYTICS_ASSESSMENT.md) 验证教学材料： ``` make teach-validate ``` 在登录 Wazuh 和 OCI Log Analytics 后刷新已验证的截图： ``` make auth-screenshots ``` 未经处理的已验证截图和浏览器配置文件将保持被忽略状态；只有位于 `docs/wiki/assets/` 下经过脱敏处理的截图才应该被提交。

标签：ECS, Oracle Cloud, Terraform, URL发现, Wazuh, 安全, 安全检测, 超时处理