xB7R/threat-intelligence-threat-hunting-with-wazuh

GitHub: xB7R/threat-intelligence-threat-hunting-with-wazuh

基于Wazuh SIEM、Shuffle SOAR与多源威胁情报构建的企业级SOC实验平台,实现端到端的安全事件检测、自动化响应与威胁狩猎。

Stars: 0 | Forks: 0

# 🛡️ Wazuh XDR, SOAR 与 威胁情报实验平台 ### 威胁情报与威胁狩猎项目 Wazuh SIEM • XDR 检测 • SOAR 自动化 • 威胁情报集成 ![Wazuh](https://img.shields.io/badge/Wazuh-SIEM-blue) ![XDR](https://img.shields.io/badge/XDR-Detection-red) ![SOAR](https://img.shields.io/badge/Shuffle-SOAR-purple) ![Threat Intelligence](https://img.shields.io/badge/Threat-Intelligence-green) ![Status](https://img.shields.io/badge/Status-Completed-brightgreen)
# 概述 本项目演示了如何使用 Wazuh SIEM、XDR 检测功能、Shuffle SOAR 自动化、主动响应以及威胁情报集成来构建安全运营中心(SOC)环境。 该环境配置为收集和分析来自 Windows Server 2022、Bodhi Linux 和 pfSense Firewall 系统的安全事件。通过自定义 Wazuh 规则检测安全事件,利用主动响应和 Shuffle playbook 自动执行响应,并结合外部威胁情报平台进行情报丰富。 本项目模拟了真实的 SOC 运营操作,涵盖威胁检测、事件调查、遏制、自动化响应以及威胁情报丰富。 # 目录 - 概述 - 实验环境 - 使用的技术 - SOC 架构 - 安全运营工作流 - 任务 1 – Wazuh 配置与事件验证 - 任务 2 – XDR 检测与自动化响应 - 任务 3 – 使用 Shuffle 进行 SOAR 自动化 - 任务 4 – 威胁情报集成 - 威胁情报来源 - 关键成果 - 展示技能 - 截图 - 作者 # 实验环境 ## 系统 | 系统 | 用途 | |----------|----------| | Wazuh Server | SIEM 平台 | | Windows Server 2022 | 端点监控 | | Bodhi Linux | Linux 端点 | | Kali Linux | 攻击模拟 | | pfSense Firewall | 防火墙与 Syslog 来源 | | Shuffle | SOAR 平台 | # 使用的技术 ## 安全监控 - Wazuh SIEM - 自定义 Wazuh 规则 - 主动响应 ## 操作系统 - Windows Server 2022 - Bodhi Linux - Kali Linux ## 网络安全 - pfSense Firewall - Syslog 监控 ## SOAR - Shuffle - Python 自动化 ## 威胁情报 - VirusTotal - AbuseIPDB - AlienVault OTX ## 脚本与自动化 - PowerShell - Bash - Python # SOC 架构 ``` ┌─────────────────────────────────────────┐ │ Endpoints │ │ Windows Server 2022 • Bodhi Linux │ └─────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────┐ │ Network Security Layer │ │ pfSense Firewall │ └─────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────┐ │ Log Collection │ │ Windows • Linux • Firewall Logs │ └─────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────┐ │ Wazuh SIEM │ │ Correlation • Detection • Monitoring │ └─────────────────────────────────────────┘ │ ┌──────────────┼──────────────┐ ▼ ▼ ▼ ┌─────────┐ ┌─────────────┐ ┌───────────┐ │ XDR │ │Threat Intel │ │Active Resp│ └─────────┘ └─────────────┘ └───────────┘ │ ▼ ┌─────────────────────────────────────────┐ │ Shuffle SOAR │ │ Account Disable • Notifications │ │ Automated Incident Response │ └─────────────────────────────────────────┘ │ ▼ ┌─────────────────────────────────────────┐ │ Detection → Analysis → Response │ │ Continuous Security Monitoring │ └─────────────────────────────────────────┘ ``` # 安全运营工作流 ``` Data Collection │ ▼ Detection │ ▼ Analysis │ ▼ Response │ ▼ Continuous Monitoring ``` # 任务 1 – Wazuh 配置与事件验证 ## 目标 部署并配置 Wazuh SIEM,实现集中化的日志收集与监控。 ## 已集成系统 ### Windows Server 2022 - 已安装 Wazuh Agent - 监控安全事件 - 收集 Microsoft Defender 事件 ### Bodhi Linux - 已安装 Wazuh Agent - 收集认证日志 - 监控系统活动 ### pfSense Firewall - 启用 Syslog 转发 - 收集防火墙日志 - 将网络事件转发至 Wazuh ## 验证结果 | 验证项目 | 状态 | |----------------|---------| | Windows 日志收集 | ✅ | | Linux 日志收集 | ✅ | | pfSense 日志收集 | ✅ | | 事件关联 | ✅ | | 集中化监控 | ✅ | # 任务 2 – XDR 检测与自动化响应 ## 目标 开发自定义检测规则和自动化响应,以识别并遏制可疑活动。 ## 检测工程 ### 暴力破解检测 创建自定义规则以检测重复的认证失败。 ### 权限提升检测 通过自定义规则监控特权组和管理员账户的变更。 ### 恶意软件检测 Microsoft Defender 和 Wazuh 针对可疑文件和恶意活动生成告警。 ## 主动响应 自动化响应操作包括: - 封禁恶意 IP 地址 - 禁用可疑用户账户 - 移除检测到的威胁 - 生成高优先级告警 # 任务 3 – 使用 Shuffle 进行 SOAR 自动化 ## 目标 将 Wazuh 与 Shuffle SOAR 集成,实现事件响应工作流的自动化。 ## 检测规则 ``` Rule ID: 100601 ``` 描述: ``` Privilege Escalation – Administrators Group Modified ``` ## Playbook 工作流 ``` Wazuh Alert │ ▼ Shuffle Webhook │ ▼ Condition Check │ ▼ Python Response Action │ ▼ Disable Suspicious Account │ ▼ Email Notification ``` ## 自动化响应 该 playbook 会自动执行以下操作: - 接收 Wazuh 告警 - 评估告警条件 - 执行 Python 响应脚本 - 禁用可疑用户账户 - 发送邮件通知 - 记录响应操作 ## 验证 将一个测试账户添加到 Windows Administrators 组。 触发的告警如下: ``` Rule ID 100601 ``` Shuffle 成功执行了以下操作: - 检测到该事件 - 执行了响应工作流 - 禁用了可疑账户 - 发送了通知告警 # 任务 4 – 威胁情报集成 ## 目标 利用外部威胁情报源增强检测能力。 ## VirusTotal 集成 ### 目的 文件信誉分析与恶意软件验证。 ### 规则 ID ``` 87105 100092 100093 ``` ### 测试场景 - 下载 EICAR 测试文件 - Wazuh FIM 检测到文件创建 - 执行 VirusTotal 查询 ### 结果 - 文件被识别为恶意 - 检测到威胁 - 触发主动响应 - 自动移除文件 ## AbuseIPDB 集成 ### 目的 IP 信誉丰富 ### 规则 ID ``` 100002 100003 100004 ``` ### 测试场景 使用公共 IP 地址生成 SSH 认证失败事件。 ### 结果 - 检测到可疑 IP - 执行 AbuseIPDB 查询 - 返回信誉数据 - 告警附加了置信度分数 ## AlienVault OTX 集成 ### 目的 IOC 与域名信誉分析 ### 规则 ID ``` 100220 100300 100301 ``` ### 测试场景 生成了一个可疑域名 indicator。 ``` shmrwqwmrn.biz ``` ### 结果 - 触发域名检测 - 执行 OTX 查询 - 返回威胁情报匹配结果 - 生成高危告警 # 威胁情报来源 | 来源 | 用途 | |----------|----------| | VirusTotal | 文件信誉分析 | | AbuseIPDB | IP 信誉分析 | | AlienVault OTX | IOC 与域名情报 | # SOC 角色 | 角色 | 职责 | |---------|---------| | SOC Analyst L1 | 告警监控与初步分诊 | | SOC Analyst L2 | 事件调查与关联 | | SOC Analyst L3 | 高级威胁狩猎与检测工程 | | Threat Hunter | 主动威胁狩猎与 IOC 分析 | | Incident Responder | 遏制与修复 | | Threat Intelligence Analyst | 威胁情报管理 | | SOC Manager | SOC 监督与报告 | # 关键成果 | 能力 | 状态 | |------------|---------| | Wazuh 部署 | ✅ | | Windows 集成 | ✅ | | Linux 集成 | ✅ | | pfSense 集成 | ✅ | | 自定义检测规则 | ✅ | | XDR 检测 | ✅ | | 主动响应 | ✅ | | Shuffle SOAR 自动化 | ✅ | | VirusTotal 集成 | ✅ | | AbuseIPDB 集成 | ✅ | | AlienVault OTX 集成 | ✅ | | 威胁情报丰富 | ✅ | # 展示技能 ## SIEM - Wazuh 部署 - 日志分析 - 事件关联 - 检测工程 - 告警分诊 ## XDR - 端点监控 - 威胁检测 - 主动响应 - 事件调查 ## SOAR - Shuffle 自动化 - Webhook 集成 - 自动化响应 Playbook - 事件工作流自动化 ## 威胁情报 - VirusTotal 集成 - AbuseIPDB 集成 - AlienVault OTX 集成 - IOC 分析 - 威胁情报丰富 ## 安全运营 - 威胁狩猎 - 事件响应 - 安全监控 - 检测工程 - SOC 运营 # 截图 ``` screenshots/ │ ├── soc-architecture.png ├── wazuh-dashboard.png ├── windows-agent.png ├── bodhi-agent.png ├── pfsense-syslog.png ├── event-validation.png ├── privilege-escalation-alert.png ├── shuffle-playbook.png ├── shuffle-response.png ├── account-disabled.png ├── virustotal-detection.png ├── abuseipdb-enrichment.png ├── otx-match.png └── threat-intelligence-dashboard.png ``` # 作者 威胁情报与威胁狩猎项目 使用 Wazuh SIEM、XDR 检测、主动响应、Shuffle SOAR、VirusTotal、AbuseIPDB、AlienVault OTX、Windows Server 2022、Bodhi Linux、Kali Linux 以及 pfSense Firewall 实现。
标签:AI合规, SOAR自动化, SOC实验环境, Wazuh, XDR检测, 威胁情报, 安全运营, 应用安全, 开发者工具, 扫描框架, 逆向工具