khuntmihir/wazuh-ssh-authentication-investigation
GitHub: khuntmihir/wazuh-ssh-authentication-investigation
该项目演示了如何使用 Wazuh SIEM 调查 SSH 认证失败事件,涵盖告警分析、MITRE ATT&CK 映射与事件响应全流程,适合 SOC 分析师入门学习。
Stars: 0 | Forks: 0
# Wazuh SSH 认证调查




# 概述
本项目演示了使用 **Wazuh SIEM** 进行的安全运营中心 (SOC) 调查。为了了解 Wazuh 如何检测、分析和呈现安全事件,我们在 Kali Linux 虚拟机上故意触发了一次失败的 SSH 认证尝试。
本次调查包括告警分析、规则检查、MITRE ATT&CK 映射、事件日志审查以及事件响应建议。
# 目标
- 了解 Wazuh 如何检测安全事件。
- 调查 SSH 认证失败。
- 分析从 Linux 收集的安全日志。
- 理解 Wazuh 检测规则。
- 将告警映射到 MITRE ATT&CK 框架。
- 练习编写 SOC 调查文档。
# 实验环境
| 组件 | 详情 |
|-----------|----------|
| 操作系统 | Kali Linux |
| SIEM 平台 | Wazuh |
| 日志源 | Linux Journald |
| 服务 | OpenSSH |
| 调查类型 | SSH 认证失败 |
| 框架 | MITRE ATT&CK |
# 使用的工具
- Wazuh
- Kali Linux
- OpenSSH
- Linux Journald
- MITRE ATT&CK Framework
# 场景
通过输入错误的凭据,故意触发了一次失败的 SSH 登录。
Wazuh 监控了端点,检测到了认证失败,生成了安全告警,并使用其内置的检测规则对事件进行了分类。
本次调查的目的是了解认证失败在 SIEM 中是如何呈现的,以及 SOC 分析师会如何对其进行调查。
# 调查工作流
1. 生成失败的 SSH 登录尝试。
2. 打开 Wazuh Threat Hunting 仪表板。
3. 审查认证失败告警。
4. 检查 Wazuh 规则 **5760**。
5. 分析事件详情。
6. 审查原始日志。
7. 将告警映射到 MITRE ATT&CK 框架。
8. 记录发现和建议。
# 检测摘要
| 属性 | 值 |
|-----------|--------|
| 规则 ID | 5760 |
| 告警名称 | sshd: authentication failed |
| 严重性 | Level 5 |
| 解码器 | sshd |
| 代理 | kali |
| 日志源 | journald |
| 源 IP | 127.0.0.1 |
| 服务 | SSH |
# 事件分析
生成的告警表明,由于密码错误,SSH 登录尝试失败。
示例日志:
```
Failed password for kali from 127.0.0.1 port 37736 ssh2
```
### 调查结果
- SSH 认证失败。
- 使用了错误的凭据。
- Wazuh 生成了规则 5760。
- 告警严重性为 Level 5。
- 事件源自 localhost,因为这是一次受控的实验室模拟。
- 未发生成功的入侵。
# Wazuh 规则分析
规则 ID:
```
5760
```
描述:
```
sshd: authentication failed
```
规则组
- authentication_failed
- sshd
- syslog
严重性
```
Level 5
```
# MITRE ATT&CK 映射
| 类别 | 值 |
|-----------|-------|
| 战术 | Credential Access |
| 技术 | Password Guessing |
| 服务 | SSH |
此映射有助于安全分析师了解攻击者的行为,并使用行业标准框架对事件进行分类。
# 事件响应
## 准备
- 已部署 Wazuh
- 已启用 SSH 日志记录
- 已监控 Kali Linux
## 识别
Wazuh 检测到认证失败。
触发了规则 5760。
## 遏制
- 监控重复的认证失败。
- 识别源 IP。
- 如有必要,限制未经授权的 SSH 访问。
## 根除
- 审查 SSH 配置。
- 验证用户账户。
- 调查可疑活动。
## 恢复
- 确认系统正常运行。
- 继续监控认证事件。
- 验证未发生未经授权的访问。
# 经验教训
- 使用 SSH 密钥代替密码。
- 尽可能启用多因素认证。
- 禁用未使用的账户。
- 使用防火墙规则限制 SSH 访问。
- 定期监控认证日志。
# 截图
## Threat Hunting 仪表板
## 事件调查
## Wazuh 规则 5760
## 文档详情
# 展示的技能
- 安全监控
- Threat Hunting
- Wazuh SIEM
- Linux 安全
- SSH 调查
- 事件分析
- MITRE ATT&CK
- 事件响应
- 日志分析
- SOC 文档编写
通过本次调查,我学到了:
• Wazuh 如何收集 Linux 认证日志。
• 如何检测 SSH 认证失败。
• 如何使用 Threat Hunting 仪表板调查告警。
• 如何检查原始日志事件。
• Wazuh 如何将告警映射到 MITRE ATT&CK 框架。
• SOC 分析师如何记录发现并建议缓解措施。
# 结论
本次调查提供了使用 Wazuh 监控 Linux 认证事件的实践经验。本项目演示了 SOC 分析师如何调查安全告警、分析事件日志、理解检测规则,以及如何使用 MITRE ATT&CK 等行业标准框架记录发现。
## 作者
**Mihir Khunt**
有志成为 SOC 分析师 | 网络安全学生 | Blue Team 爱好者
```
GitHub: https://github.com/khuntmihir
```
## 事件调查
## Wazuh 规则 5760
## 文档详情
# 展示的技能
- 安全监控
- Threat Hunting
- Wazuh SIEM
- Linux 安全
- SSH 调查
- 事件分析
- MITRE ATT&CK
- 事件响应
- 日志分析
- SOC 文档编写
通过本次调查,我学到了:
• Wazuh 如何收集 Linux 认证日志。
• 如何检测 SSH 认证失败。
• 如何使用 Threat Hunting 仪表板调查告警。
• 如何检查原始日志事件。
• Wazuh 如何将告警映射到 MITRE ATT&CK 框架。
• SOC 分析师如何记录发现并建议缓解措施。
# 结论
本次调查提供了使用 Wazuh 监控 Linux 认证事件的实践经验。本项目演示了 SOC 分析师如何调查安全告警、分析事件日志、理解检测规则,以及如何使用 MITRE ATT&CK 等行业标准框架记录发现。
## 作者
**Mihir Khunt**
有志成为 SOC 分析师 | 网络安全学生 | Blue Team 爱好者
```
GitHub: https://github.com/khuntmihir
```
标签:SSH认证, Wazuh, 安全运营, 库, 应急响应, 扫描框架