Mahipanchal-0685/Suricata-Wazuh-Recon-Detection

# Suricata-Wazuh 侦察检测 ## 概述 本项目演示了使用 Suricata IDS 和 Wazuh 检测 Nmap 侦察活动。 在本项目中，使用 Kali Linux 虚拟机对运行 Suricata 和 Wazuh 的 Ubuntu 服务器执行了 Nmap 扫描。Suricata 生成了警报，这些警报随后在 Wazuh Dashboard 中进行处理和可视化展示。 ## 环境 * Kali Linux 虚拟机（攻击者） * Ubuntu 虚拟机（目标与监控） * Suricata IDS * Wazuh Manager * Wazuh Dashboard ## 检测工作流 ``` Nmap Scan ↓ Suricata Detection ↓ eve.json Alert ↓ Wazuh Processing ↓ Wazuh Dashboard Alert ``` ## 解决的挑战 ### 问题 1：Suricata 服务启动失败 Suricata 启动失败，因为配置的规则路径与实际生成的规则位置不匹配。 ### 问题 2：eve.json 中无事件 Suricata 监控了错误的网络接口（使用了 `eth0` 而不是 `enp0s3`）。 ### 解决方案 修正了规则路径和监控接口后，Suricata 成功检测并记录了网络活动。 ## 结果 * 成功使用 Nmap 模拟了侦察活动 * 生成了 Suricata 警报 * 验证了 `eve.json` 中的事件 * 将警报集成到了 Wazuh * 确认了在 Wazuh Dashboard 中的警报可见性 ## 证据 ### Nmap 侦察扫描   ### Wazuh Dashboard 警报   ### Suricata eve.json 警报  ### Wazuh 日志接入  ## 展示的技能 * Linux 管理 * 网络监控 * 入侵检测 * 安全事件分析 * Wazuh SIEM 运维 * 故障排除与日志分析

标签：AMSI绕过, Metaprompt, Suricata, Wazuh, 威胁检测, 安全运营, 实时处理, 对抗机器学习, 扫描框架, 插件系统, 现代安全运营