khuntmihir/wazuh-ssh-authentication-investigation

GitHub: khuntmihir/wazuh-ssh-authentication-investigation

该项目演示了如何使用 Wazuh SIEM 调查 SSH 认证失败事件,涵盖告警分析、MITRE ATT&CK 映射与事件响应全流程,适合 SOC 分析师入门学习。

Stars: 0 | Forks: 0

# Wazuh SSH 认证调查 ![Wazuh](https://img.shields.io/badge/Wazuh-SIEM-blue) ![Linux](https://img.shields.io/badge/Linux-Kali-red) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-green) ![Status](https://img.shields.io/badge/Project-Completed-brightgreen) # 概述 本项目演示了使用 **Wazuh SIEM** 进行的安全运营中心 (SOC) 调查。为了了解 Wazuh 如何检测、分析和呈现安全事件,我们在 Kali Linux 虚拟机上故意触发了一次失败的 SSH 认证尝试。 本次调查包括告警分析、规则检查、MITRE ATT&CK 映射、事件日志审查以及事件响应建议。 # 目标 - 了解 Wazuh 如何检测安全事件。 - 调查 SSH 认证失败。 - 分析从 Linux 收集的安全日志。 - 理解 Wazuh 检测规则。 - 将告警映射到 MITRE ATT&CK 框架。 - 练习编写 SOC 调查文档。 # 实验环境 | 组件 | 详情 | |-----------|----------| | 操作系统 | Kali Linux | | SIEM 平台 | Wazuh | | 日志源 | Linux Journald | | 服务 | OpenSSH | | 调查类型 | SSH 认证失败 | | 框架 | MITRE ATT&CK | # 使用的工具 - Wazuh - Kali Linux - OpenSSH - Linux Journald - MITRE ATT&CK Framework # 场景 通过输入错误的凭据,故意触发了一次失败的 SSH 登录。 Wazuh 监控了端点,检测到了认证失败,生成了安全告警,并使用其内置的检测规则对事件进行了分类。 本次调查的目的是了解认证失败在 SIEM 中是如何呈现的,以及 SOC 分析师会如何对其进行调查。 # 调查工作流 1. 生成失败的 SSH 登录尝试。 2. 打开 Wazuh Threat Hunting 仪表板。 3. 审查认证失败告警。 4. 检查 Wazuh 规则 **5760**。 5. 分析事件详情。 6. 审查原始日志。 7. 将告警映射到 MITRE ATT&CK 框架。 8. 记录发现和建议。 # 检测摘要 | 属性 | 值 | |-----------|--------| | 规则 ID | 5760 | | 告警名称 | sshd: authentication failed | | 严重性 | Level 5 | | 解码器 | sshd | | 代理 | kali | | 日志源 | journald | | 源 IP | 127.0.0.1 | | 服务 | SSH | # 事件分析 生成的告警表明,由于密码错误,SSH 登录尝试失败。 示例日志: ``` Failed password for kali from 127.0.0.1 port 37736 ssh2 ``` ### 调查结果 - SSH 认证失败。 - 使用了错误的凭据。 - Wazuh 生成了规则 5760。 - 告警严重性为 Level 5。 - 事件源自 localhost,因为这是一次受控的实验室模拟。 - 未发生成功的入侵。 # Wazuh 规则分析 规则 ID: ``` 5760 ``` 描述: ``` sshd: authentication failed ``` 规则组 - authentication_failed - sshd - syslog 严重性 ``` Level 5 ``` # MITRE ATT&CK 映射 | 类别 | 值 | |-----------|-------| | 战术 | Credential Access | | 技术 | Password Guessing | | 服务 | SSH | 此映射有助于安全分析师了解攻击者的行为,并使用行业标准框架对事件进行分类。 # 事件响应 ## 准备 - 已部署 Wazuh - 已启用 SSH 日志记录 - 已监控 Kali Linux ## 识别 Wazuh 检测到认证失败。 触发了规则 5760。 ## 遏制 - 监控重复的认证失败。 - 识别源 IP。 - 如有必要,限制未经授权的 SSH 访问。 ## 根除 - 审查 SSH 配置。 - 验证用户账户。 - 调查可疑活动。 ## 恢复 - 确认系统正常运行。 - 继续监控认证事件。 - 验证未发生未经授权的访问。 # 经验教训 - 使用 SSH 密钥代替密码。 - 尽可能启用多因素认证。 - 禁用未使用的账户。 - 使用防火墙规则限制 SSH 访问。 - 定期监控认证日志。 # 截图 ## Threat Hunting 仪表板 Screenshot From 2026-06-29 21-42-38 ## 事件调查 Screenshot From 2026-06-29 21-46-14 ## Wazuh 规则 5760 Screenshot From 2026-06-29 21-49-37 ## 文档详情 Screenshot From 2026-06-29 21-52-07 # 展示的技能 - 安全监控 - Threat Hunting - Wazuh SIEM - Linux 安全 - SSH 调查 - 事件分析 - MITRE ATT&CK - 事件响应 - 日志分析 - SOC 文档编写 通过本次调查,我学到了: • Wazuh 如何收集 Linux 认证日志。 • 如何检测 SSH 认证失败。 • 如何使用 Threat Hunting 仪表板调查告警。 • 如何检查原始日志事件。 • Wazuh 如何将告警映射到 MITRE ATT&CK 框架。 • SOC 分析师如何记录发现并建议缓解措施。 # 结论 本次调查提供了使用 Wazuh 监控 Linux 认证事件的实践经验。本项目演示了 SOC 分析师如何调查安全告警、分析事件日志、理解检测规则,以及如何使用 MITRE ATT&CK 等行业标准框架记录发现。 ## 作者 **Mihir Khunt** 有志成为 SOC 分析师 | 网络安全学生 | Blue Team 爱好者 ``` GitHub: https://github.com/khuntmihir ```
标签:SSH认证, Wazuh, 安全运营, 库, 应急响应, 扫描框架