abhinavkishor9/Wazuh-Lab-04-SSH-Brute-Force-Detection

# Wazuh-Lab-04-SSH-暴力破解检测 ## 概述 本实验演示了 Wazuh 如何检测针对 Linux 服务器的 SSH 暴力破解活动。 在 Windows 攻击机上使用 PuTTY 对运行 OpenSSH 的 Rocky Linux 系统发起了多次失败的 SSH 登录尝试。 由此产生的身份验证失败记录被 Wazuh 收集，并通过 Threat Hunting 模块进行了分析。 ## 实验目标 - 验证 SSH 服务可用性 - 生成失败的 SSH 身份验证尝试 - 验证 Linux 身份验证日志 - 使用 Wazuh 检测暴力破解活动 - 调查生成的警报 ## 实验环境 ### Wazuh Manager | 组件 | 值 | |------------|------------| | 平台 | Rocky Linux | | IP 地址 | 192.168.203.133 | | Wazuh 版本 | 4.x | ### 攻击者系统 | 组件 | 值 | |------------|------------| | 平台 | Windows 11 | | 工具 | PuTTY | ## 攻击模拟 使用以下不存在的用户账号： ``` fakeuser ``` 对 Wazuh manager 执行了多次 SSH 登录尝试。 示例： ``` fakeuser@192.168.203.133 ``` 输入了多个错误密码，以触发与暴力破解相关的检测。 ## 验证步骤 ### 验证 SSH 服务 ``` sudo systemctl status sshd ``` 预期结果： ``` active (running) ``` ### 验证 SSH 端口 ``` sudo ss -tulpn | grep :22 ``` 预期结果： ``` LISTEN 0.0.0.0:22 ``` ### 监控身份验证日志 ``` sudo tail -f /var/log/secure ``` 观察到的事件： ``` Failed password for invalid user fakeuser Maximum authentication attempts exceeded Disconnected invalid user fakeuser ``` ## Wazuh Threat Hunting 导航至： ``` Threat Hunting → Events ``` 调查与 SSH 相关的检测。 ## 检测到的规则 ### 规则 5710 ``` sshd: Attempt to login using a non-existent user ``` 严重性： ``` Level 5 ``` ### 规则 5758 ``` Maximum authentication attempts exceeded ``` 严重性： ``` Level 8 ``` ### 规则 2502 ``` User missed the password more than one time ``` 严重性： ``` Level 10 ``` ## MITRE ATT&CK 映射 ### T1110 ``` Brute Force ``` 通过反复的身份验证失败来进行凭据访问尝试。 ## 练习技能 - SSH 日志分析 - Linux 身份验证监控 - Wazuh Threat Hunting - 暴力破解检测 - 警报验证 - SOC 调查工作流 ## 结果 成功生成并检测到了 SSH 暴力破解活动。 已验证： - Linux 身份验证日志 - SSH 安全事件 - Wazuh 检测规则 - Threat Hunting 调查

标签：SSH暴力破解检测, Wazuh, 安全实验