senhafathimaa/wazuh-vt-threatcheck

GitHub: senhafathimaa/wazuh-vt-threatcheck

基于 Wazuh 的 SIEM 教学项目,集成 VirusTotal、AlienVault OTX 和 MITRE ATT&CK 实现实时威胁检测、情报富化、文件完整性监控与自动化事件响应。

Stars: 0 | Forks: 0

# Wazuh-VT-ThreatCheck 一个安全信息与事件管理(SIEM)项目,演示了使用 Wazuh、VirusTotal 和 AlienVault OTX 进行实时威胁检测、威胁情报富化、文件完整性监控(FIM)以及自动化事件响应。 ## 概述 本项目演示了 **Wazuh SIEM v4.14.0** 的部署与配置,该系统集成了多种威胁情报工具,用于自动化的实时威胁检测、分析和事件响应。 整个技术栈运行在 **Kali Linux 2026.2** 上,使用 **Docker Engine 29.6.0**。Wazuh Manager、Indexer 和 Dashboard 运行在 Docker 容器中,而 **Wazuh Agent 直接安装在 Kali Linux 主机(BLACKICE)上** —— 使得 Kali 主机本身成为受监控的终端。 ## 架构 ``` ┌─────────────────────────────────────────────────────────┐ │ Kali Linux 2026.2 — BLACKICE │ │ AMD64 | 12 Cores | 7.5 GB RAM │ │ │ │ ┌───────────────────────────────────────────────────┐ │ │ │ Docker Engine 29.6.0 │ │ │ │ ┌─────────────┐ ┌───────────┐ ┌────────────┐ │ │ │ │ │ Wazuh │ │ Wazuh │ │ Wazuh │ │ │ │ │ │ Manager │◄─►│ Indexer │◄─►│ Dashboard │ │ │ │ │ │ :1514/:1515 │ │ :9200 │ │ :443 │ │ │ │ │ └──────┬──────┘ └───────────┘ └────────────┘ │ │ │ └─────────┼─────────────────────────────────────────┘ │ │ │ port 1514 (localhost) │ │ ┌─────────▼───────────────────────────────────────┐ │ │ │ Wazuh Agent — BLACKICE │ │ │ │ Monitors the Kali Linux host machine │ │ │ │ /etc | /usr/bin | /usr/sbin | /tmp │ │ │ └──────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────┘ │ API calls from Wazuh Manager ┌───────────┼───────────┐ ▼ ▼ ▼ ┌──────────────┐ ┌───────────┐ ┌──────────────┐ │ VirusTotal │ │AlienVault │ │ MITRE ATT&CK │ │ API │ │ OTX API │ │ Framework │ └──────────────┘ └───────────┘ └──────────────┘ ``` ## 集成 | 集成 | 目的 | 结果 | |---|---|---| | **VirusTotal** | 通过 API 进行文件哈希恶意软件检测 | EICAR 被 65/67 个引擎检测到 — 规则 87105 | | **AlienVault OTX** | 通过自定义 Python 脚本进行 IP 信誉检查 | 成功查询 OTX API | | **MITRE ATT&CK** | 警报的自动 TTP 映射 | T1565.001, T1203, T1078, T1548.003 | | **文件完整性监控** | 检测未经授权的文件更改 | 规则 550, 554 — 监控 /etc, /usr/bin, /tmp | | **主动响应** | 自动化威胁缓解 | 基于规则 87105 触发 firewall-drop | ## 系统配置 | 组件 | 详情 | |---|---| | 操作系统 | Kali Linux 2026.2 Rolling | | 主机名 | BLACKICE | | 架构 | AMD64 (x86_64) | | CPU | 12 核 | | 内存 | 7.5 GB | | 可用存储 | 101 GB | | Docker 版本 | 29.6.0 | | Wazuh 版本 | 4.14.0 | ## 部署 所有部署命令均可在 [`commands.sh`](./commands.sh) 中找到 ### 快速开始 **1. 安装 Docker Engine** ``` sudo apt update sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y sudo systemctl enable --now docker ``` **2. 克隆 Wazuh Docker 仓库** ``` git clone https://github.com/wazuh/wazuh-docker.git -b v4.14.0 cd wazuh-docker/single-node/ ``` **3. 生成 SSL 证书** ``` docker compose -f generate-indexer-certs.yml run --rm generator ``` **4. 部署 Wazuh 技术栈** ``` docker compose up -d docker ps ``` **5. 访问 Dashboard** URL : https://localhost 用户名 : admin 密码 : SecretPassword **6. 在 Kali 主机上安装 Wazuh Agent** ``` curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo gpg --dearmor -o /usr/share/keyrings/wazuh.gpg echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list sudo apt update WAZUH_MANAGER="127.0.0.1" sudo apt install wazuh-agent -y sudo systemctl enable --now wazuh-agent ``` ## 关键配置 ### 文件完整性监控 在 Agent 的 `/var/ossec/etc/ossec.conf` 中的 `` 块内添加: ``` /etc,/usr/bin,/usr/sbin /bin,/sbin,/boot /tmp 300 ``` ### VirusTotal 集成 添加到 Wazuh Manager 的 ossec.conf 中: ``` virustotal YOUR_VIRUSTOTAL_API_KEY syscheck json ``` ### AlienVault OTX 集成 在 Manager 容器内部署 custom-alienvault.py: ``` docker cp custom-alienvault.py single-node-wazuh.manager-1:/var/ossec/integrations/ docker exec -it single-node-wazuh.manager-1 chmod +x /var/ossec/integrations/custom-alienvault.py docker exec -it single-node-wazuh.manager-1 python3 -m pip install requests ``` 添加到 ossec.conf: ``` custom-alienvault 3 json ``` ### 主动响应 ``` firewall-drop local 87105 600 ``` ## 结果 | 模块 | 规则 ID | 描述 | 状态 | |---|---|---|---| | 文件完整性监控 | 550 | 完整性校验和已更改 | ✅ 已检测 | | 文件完整性监控 | 554 | 文件已添加到系统 | ✅ 已检测 | | VirusTotal | 87103 | 已查询 VirusTotal — 达到速率限制 | ✅ 正常工作 | | VirusTotal | 87105 | 检测到 EICAR — 65/67 个引擎 | ✅ 已检测 | | MITRE ATT&CK | T1565.001 | 影响 — 完整性校验和 | ✅ 已映射 | | MITRE ATT&CK | T1203 | 执行 — VirusTotal EICAR | ✅ 已映射 | | MITRE ATT&CK | T1078 | 防御规避、持久化 | ✅ 已映射 | | MITRE ATT&CK | T1548.003 | 权限提升 — Sudo | ✅ 已映射 | | 主动响应 | — | firewall-drop 已执行 | ✅ 已触发 | | AlienVault OTX | — | IP 信誉检查返回 | ✅ 正常工作 | ## 所需的 API 密钥 | 服务 | 获取地址 | |---|---| | VirusTotal API 密钥 | https://www.virustotal.com → Profile → API Key | | AlienVault OTX API 密钥 | https://otx.alienvault.com → Profile → API Key | ## 已知限制 - **VirusTotal 免费 API** 限制为每分钟 4 次请求 — 这会导致规则 87103 频繁出现。当未超过速率限制时,将触发规则 87105。 - **主动响应 firewall-drop** 需要一个 srcip 字段。由于 EICAR 是一个本地文件,因此没有 IP 被阻止 — 但响应仍会执行并被记录。 - 这是一个适用于学习和测试的**单节点部署**,不适用于生产环境。 ## 作者 ## **Senhafathima** **网络安全学生 | SOC 分析师爱好者** ## 免责声明 本项目**仅供教育目的**。所有测试均使用安全的模拟威胁(EICAR 测试文件)执行。未经适当的安全加固,请勿在生产环境中使用此设置。
标签:Docker, Wazuh, x64dbg, 威胁情报, 安全运营, 安全防御评估, 开发者工具, 扫描框架, 请求拦截, 逆向工具