Nithin-099/SOC-Monitoring-and-Threat-Detection-Using-Wazuh

# 使用 Wazuh 进行 SOC 监控和威胁检测 ## 项目概述 本项目演示了如何使用 Wazuh 部署和配置安全信息和事件管理 (SIEM) 解决方案。目标是构建一个集中式安全监控实验室，能够收集日志、检测安全事件、执行威胁狩猎以及评估端点合规性。 该实验室由运行在 Ubuntu 22.04 上的 Wazuh Server 和通过 Wazuh Agent 监控的 Windows 11 端点组成。 ## 实验室架构 ``` Windows 11 Endpoint │ ▼ Wazuh Agent │ ▼ Wazuh Manager │ ▼ OpenSearch │ ▼ Wazuh Dashboard ``` ## 使用的技术 * Wazuh 4.12 * Ubuntu 22.04 * Windows 11 * OpenSearch * VirtualBox * Sysmon * Windows 事件日志 ## 项目目标 * 部署和配置 Wazuh SIEM。 * 连接和管理 Windows 端点。 * 实时监控安全事件。 * 执行威胁狩猎和日志分析。 * 进行 CIS 基准合规性评估。 * 为可疑活动生成告警。 * 分析端点安全状况。 ## 实施过程 ### Wazuh Server 设置 * 在 Ubuntu 上安装了 Wazuh Manager、Dashboard 和 OpenSearch。 * 配置了 API 通信和仪表板集成。 * 验证了服务运行状况和日志收集。 ### 端点监控 * 在 Windows 11 上安装了 Wazuh Agent。 * 将该端点注册到 Wazuh Manager。 * 验证了代理连接和事件转发。 ### 威胁狩猎 * 监控了 Windows 安全事件。 * 调查了用户账户活动。 * 分析了登录和身份验证事件。 * 审查了由 Wazuh 规则生成的安全告警。 ### 配置评估 * 执行了 CIS Microsoft Windows 11 Enterprise Benchmark 评估。 * 识别了失败的安全控制措施和可强化安全的机会。 * 评估了合规性得分和修复建议。 ## 安全用例 ### 用户账户创建检测 使用以下命令创建了一个新的 Windows 用户账户： ``` net user TestUser Password@123 /add ``` Wazuh 成功检测并记录了该事件，并生成了安全告警以供调查。 ### Windows 日志监控 收集并分析了： * 成功登录 * 用户账户修改 * 系统活动事件 * 与安全相关的 Windows 事件 ### 合规性监控 针对 Windows 端点执行了 CIS 基准检查，以识别配置错误和安全弱点。 ## 主要成果 * 成功部署了功能完善的 SIEM 环境。 * 集成了 Windows 端点监控。 * 生成并调查了安全告警。 * 执行了威胁狩猎活动。 * 进行了 CIS 合规性评估。 * 展示了实时的安全事件可见性。 ## 截图 * Wazuh 概览仪表板 * 活跃的 Agent 监控 * 威胁狩猎事件 * 用户账户创建检测 * CIS 合规性评估 * 告警监控仪表板 ## 未来改进 * 集成 Sysmon 以获取高级遥测数据。 * 配置文件完整性监控 (FIM)。 * 实施 VirusTotal 集成。 * 添加自定义检测规则。 * 监控多个端点。

标签：Wazuh, 安全运营中心, 网络映射