senhafathimaa/wazuh-vt-threatcheck
GitHub: senhafathimaa/wazuh-vt-threatcheck
基于 Wazuh 的 SIEM 教学项目,集成 VirusTotal、AlienVault OTX 和 MITRE ATT&CK 实现实时威胁检测、情报富化、文件完整性监控与自动化事件响应。
Stars: 0 | Forks: 0
# Wazuh-VT-ThreatCheck
一个安全信息与事件管理(SIEM)项目,演示了使用 Wazuh、VirusTotal 和 AlienVault OTX 进行实时威胁检测、威胁情报富化、文件完整性监控(FIM)以及自动化事件响应。
## 概述
本项目演示了 **Wazuh SIEM v4.14.0** 的部署与配置,该系统集成了多种威胁情报工具,用于自动化的实时威胁检测、分析和事件响应。
整个技术栈运行在 **Kali Linux 2026.2** 上,使用 **Docker Engine 29.6.0**。Wazuh Manager、Indexer 和 Dashboard 运行在 Docker 容器中,而 **Wazuh Agent 直接安装在 Kali Linux 主机(BLACKICE)上** —— 使得 Kali 主机本身成为受监控的终端。
## 架构
```
┌─────────────────────────────────────────────────────────┐
│ Kali Linux 2026.2 — BLACKICE │
│ AMD64 | 12 Cores | 7.5 GB RAM │
│ │
│ ┌───────────────────────────────────────────────────┐ │
│ │ Docker Engine 29.6.0 │ │
│ │ ┌─────────────┐ ┌───────────┐ ┌────────────┐ │ │
│ │ │ Wazuh │ │ Wazuh │ │ Wazuh │ │ │
│ │ │ Manager │◄─►│ Indexer │◄─►│ Dashboard │ │ │
│ │ │ :1514/:1515 │ │ :9200 │ │ :443 │ │ │
│ │ └──────┬──────┘ └───────────┘ └────────────┘ │ │
│ └─────────┼─────────────────────────────────────────┘ │
│ │ port 1514 (localhost) │
│ ┌─────────▼───────────────────────────────────────┐ │
│ │ Wazuh Agent — BLACKICE │ │
│ │ Monitors the Kali Linux host machine │ │
│ │ /etc | /usr/bin | /usr/sbin | /tmp │ │
│ └──────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────┘
│
API calls from Wazuh Manager
┌───────────┼───────────┐
▼ ▼ ▼
┌──────────────┐ ┌───────────┐ ┌──────────────┐
│ VirusTotal │ │AlienVault │ │ MITRE ATT&CK │
│ API │ │ OTX API │ │ Framework │
└──────────────┘ └───────────┘ └──────────────┘
```
## 集成
| 集成 | 目的 | 结果 |
|---|---|---|
| **VirusTotal** | 通过 API 进行文件哈希恶意软件检测 | EICAR 被 65/67 个引擎检测到 — 规则 87105 |
| **AlienVault OTX** | 通过自定义 Python 脚本进行 IP 信誉检查 | 成功查询 OTX API |
| **MITRE ATT&CK** | 警报的自动 TTP 映射 | T1565.001, T1203, T1078, T1548.003 |
| **文件完整性监控** | 检测未经授权的文件更改 | 规则 550, 554 — 监控 /etc, /usr/bin, /tmp |
| **主动响应** | 自动化威胁缓解 | 基于规则 87105 触发 firewall-drop |
## 系统配置
| 组件 | 详情 |
|---|---|
| 操作系统 | Kali Linux 2026.2 Rolling |
| 主机名 | BLACKICE |
| 架构 | AMD64 (x86_64) |
| CPU | 12 核 |
| 内存 | 7.5 GB |
| 可用存储 | 101 GB |
| Docker 版本 | 29.6.0 |
| Wazuh 版本 | 4.14.0 |
## 部署
所有部署命令均可在 [`commands.sh`](./commands.sh) 中找到
### 快速开始
**1. 安装 Docker Engine**
```
sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y
sudo systemctl enable --now docker
```
**2. 克隆 Wazuh Docker 仓库**
```
git clone https://github.com/wazuh/wazuh-docker.git -b v4.14.0
cd wazuh-docker/single-node/
```
**3. 生成 SSL 证书**
```
docker compose -f generate-indexer-certs.yml run --rm generator
```
**4. 部署 Wazuh 技术栈**
```
docker compose up -d
docker ps
```
**5. 访问 Dashboard**
URL : https://localhost
用户名 : admin
密码 : SecretPassword
**6. 在 Kali 主机上安装 Wazuh Agent**
```
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --dearmor -o /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list
sudo apt update
WAZUH_MANAGER="127.0.0.1" sudo apt install wazuh-agent -y
sudo systemctl enable --now wazuh-agent
```
## 关键配置
### 文件完整性监控
在 Agent 的 `/var/ossec/etc/ossec.conf` 中的 `` 块内添加:
```
/etc,/usr/bin,/usr/sbin
/bin,/sbin,/boot
/tmp
300
```
### VirusTotal 集成
添加到 Wazuh Manager 的 ossec.conf 中:
```
virustotal
YOUR_VIRUSTOTAL_API_KEY
syscheck
json
```
### AlienVault OTX 集成
在 Manager 容器内部署 custom-alienvault.py:
```
docker cp custom-alienvault.py single-node-wazuh.manager-1:/var/ossec/integrations/
docker exec -it single-node-wazuh.manager-1 chmod +x /var/ossec/integrations/custom-alienvault.py
docker exec -it single-node-wazuh.manager-1 python3 -m pip install requests
```
添加到 ossec.conf:
```
custom-alienvault
3
json
```
### 主动响应
```
firewall-drop
local
87105
600
```
## 结果
| 模块 | 规则 ID | 描述 | 状态 |
|---|---|---|---|
| 文件完整性监控 | 550 | 完整性校验和已更改 | ✅ 已检测 |
| 文件完整性监控 | 554 | 文件已添加到系统 | ✅ 已检测 |
| VirusTotal | 87103 | 已查询 VirusTotal — 达到速率限制 | ✅ 正常工作 |
| VirusTotal | 87105 | 检测到 EICAR — 65/67 个引擎 | ✅ 已检测 |
| MITRE ATT&CK | T1565.001 | 影响 — 完整性校验和 | ✅ 已映射 |
| MITRE ATT&CK | T1203 | 执行 — VirusTotal EICAR | ✅ 已映射 |
| MITRE ATT&CK | T1078 | 防御规避、持久化 | ✅ 已映射 |
| MITRE ATT&CK | T1548.003 | 权限提升 — Sudo | ✅ 已映射 |
| 主动响应 | — | firewall-drop 已执行 | ✅ 已触发 |
| AlienVault OTX | — | IP 信誉检查返回 | ✅ 正常工作 |
## 所需的 API 密钥
| 服务 | 获取地址 |
|---|---|
| VirusTotal API 密钥 | https://www.virustotal.com → Profile → API Key |
| AlienVault OTX API 密钥 | https://otx.alienvault.com → Profile → API Key |
## 已知限制
- **VirusTotal 免费 API** 限制为每分钟 4 次请求 — 这会导致规则 87103 频繁出现。当未超过速率限制时,将触发规则 87105。
- **主动响应 firewall-drop** 需要一个 srcip 字段。由于 EICAR 是一个本地文件,因此没有 IP 被阻止 — 但响应仍会执行并被记录。
- 这是一个适用于学习和测试的**单节点部署**,不适用于生产环境。
## 作者
## **Senhafathima**
**网络安全学生 | SOC 分析师爱好者**
## 免责声明
本项目**仅供教育目的**。所有测试均使用安全的模拟威胁(EICAR 测试文件)执行。未经适当的安全加固,请勿在生产环境中使用此设置。
标签:Docker, Wazuh, x64dbg, 威胁情报, 安全运营, 安全防御评估, 开发者工具, 扫描框架, 请求拦截, 逆向工具