gabrielmarquezcyber/elastic-wazuh-detection-operations-workbook

GitHub: gabrielmarquezcyber/elastic-wazuh-detection-operations-workbook

一份基于 Elastic Stack 与 Wazuh 的 SOC 检测运营实战工作簿,展示从日志采集、规则工程、查询调查到攻击重建的完整安全运营能力链。

Stars: 0 | Forks: 0

# Elastic 与 Wazuh 检测运营工作簿 **公开作品集 artifact** | **受控实验室环境** | **最后更新:2026-07-01** 本工作簿展示了实用的 Elastic Stack 与 Wazuh 检测运营工作:构建 Logstash 采集 pipeline,在 Kibana 中验证已解析的事件,设计自定义 Wazuh 规则,使用 KQL 和 Lucene 进行调查追踪,以及根据 Apache 日志证据重建 Web 应用程序入侵过程。 该 artifact 专为审查者审阅而构建。根目录的 README 提供了可视化验证路径。各章节文档提供了更深入的技术演示。源文件保留了确切的 pipeline、规则和查询 artifact。 ## 这证明了什么 | 能力 | 证据 | |---|---| | 日志采集与解析 | Logstash pipeline 读取 Linux 身份验证日志,使用 Grok 解析字段,规范化时间戳,并将事件发送到 Elasticsearch。 | | 检测规则工程 | 使用 Wazuh logtest 输出来检查解码后的字段,排查失败的自定义规则,纠正字段逻辑,并验证子规则。 | | SIEM 查询熟练度 | 使用 KQL 和 Lucene 进行精确过滤、通配符、布尔追踪、范围、正则表达式、模糊搜索和邻近搜索。 | | 攻击重建 | 使用 Apache 日志证据识别攻击者来源、工具序列、暴力破解、上传行为、Web Shell 执行、LFI 和数据库访问。 | | 分析师报告 | 将截图、源文件、查询记录和验证映射组织成面向审查者的证据链。 | ## 可视化验证亮点 ### 1. Kibana 中已解析的 Linux 身份验证事件 ![Kibana useradd 事件验证](https://static.pigsec.cn/wp-content/uploads/repos/cas/d8/d8a31b328037432f58b27e8559e4b580405831d67aa36f1079b58dd896d58115.png) 审查者要点: Logstash pipeline 不仅完成了配置。它还通过 Kibana 中可见的已解析 Linux 身份验证事件(包括结构化字段和规范化时间戳)进行了验证。 ### 2. Wazuh 解码字段排查 ![用于 Wazuh 排查的解码字段](https://static.pigsec.cn/wp-content/uploads/repos/cas/93/93dfcf5a2dbbf774dd5d384afb4a47d2dbb2e81adb620265da0540311d0ba828.png) 审查者要点: Wazuh 规则工程工作流展示了字段级别的排查。第一条自定义规则失败是因为它针对了错误的解码字段。解码器输出揭示了应该匹配的正确字段。 ### 3. 纠正后的自定义 Wazuh 规则验证 ![纠正后的 Wazuh 规则验证](https://static.pigsec.cn/wp-content/uploads/repos/cas/9a/9a35cc6c48004bba7eec437462a7e97f25e2cd10b647df96e259437eea53c349.png) 审查者要点: 在将字段从 `audit.cwd` 纠正为 `audit.directory.name` 后,自定义规则 100002 按预期触发。这展示了检测排查能力,而不仅是编写规则。 ### 4. Lucene 正则表达式调查追踪 ![Lucene 正则表达式调查过滤](https://static.pigsec.cn/wp-content/uploads/repos/cas/2a/2aa53224c928b4249632677a47782626c845702beb0cbbdb52d6b901a5fd1f1d.png) 审查者要点: Elastic 调查章节展示了对分析师评论和受影响文件名使用 Lucene 的实际操作。该章节还记录了一条纠正后的查询路径,其中结构化的事件类型和分析师的评论文本产生了不同的结果计数。 ### 5. 通过字段统计识别攻击者 ![攻击者 IP 字段统计](https://static.pigsec.cn/wp-content/uploads/repos/cas/95/95ecd54dc833241f60e23a2d61c496e1eed6ebb45c82da797aea67ff8e8d7a63.png) 审查者要点: Slingshot 调查通过字段统计的优势而不是假设来识别攻击者来源。主要来源产生了 3,028 个事件中的 2,565 个。 ### 6. Web Shell 命令证据 ![首个 Web Shell 命令](https://static.pigsec.cn/wp-content/uploads/repos/cas/6c/6c4a8c1f42843c47651528f438ef7a77bdb8d9010c8a66f39f5638ece20aaf0a.png) 审查者要点: 攻击重建遵循了从枚举和暴力破解到上传活动和 Web Shell 执行的顺序。通过 Apache 日志证据识别到了第一个观察到的命令。 ## 快速审查路径 | 审查领域 | 从这里开始 | |---|---| | 审查者验证映射 | [reviewer-proof-map.md](reviewer-proof-map.md) | | 章节文档 | [docs/README.md](docs/README.md) | | Logstash 配置 | [configs/logstash/auth.conf](configs/logstash/auth.conf) | | Wazuh 规则 | [configs/wazuh/local_rules.xml](configs/wazuh/local_rules.xml) | | Elastic 查询记录 | [queries/section-03-kql-lucene-queries.md](queries/section-03-kql-lucene-queries.md) | | Slingshot 查询记录 | [queries/section-04-slingshot-investigation-queries.md](queries/section-04-slingshot-investigation-queries.md) | ## 检测运营映射 | 层级 | 章节 | 分析师价值 | |---|---|---| | Pipeline | [第 01 章节 - Logstash 采集、处理与转换](docs/01-logstash-collection-processing-transformation.md) | 将原始的 Linux 身份验证日志转换为 Elasticsearch 中已解析且时间戳规范的事件。 | | 检测 | [第 02 章节 - Wazuh 自定义告警规则工程](docs/02-wazuh-custom-alert-rule-engineering.md) | 将解码的事件字段转换为自定义告警逻辑并验证规则行为。 | | 查询 | [第 03 章节 - Elastic 查询语言与调查模式](docs/03-elastic-query-languages-investigation-patterns.md) | 使用 KQL 和 Lucene 进行过滤、追踪和验证调查证据。 | | 调查 | [第 04 章节 - Slingshot 攻击重建](docs/04-slingshot-attack-reconstruction.md) | 根据 Apache 日志证据重建攻击者行为。 | | 综合 | [第 05 章节 - 进阶 ELK 回顾与分析师经验](docs/05-advanced-elk-recap-analyst-lessons.md) | 将 pipeline、检测、查询和重建工作结合成可迁移的 SOC 经验。 | ## 章节概述 ### 第 01 章节 - Logstash 采集、处理与转换 本章节展示了 pipeline 层。Logstash 作为运行服务被安装、启用和验证。自定义 pipeline 采集了 Linux 身份验证日志,使用 Grok 解析字段,使用 Date 过滤器规范化时间戳,并将结构化事件发送到 Elasticsearch 以便在 Kibana 中进行验证。 相关支持文件: - [第 01 章节深入分析](docs/01-logstash-collection-processing-transformation.md) - [Logstash 身份验证 pipeline](configs/logstash/auth.conf) ### 第 02 章节 - Wazuh 自定义告警规则工程 本章节展示了检测逻辑层。使用 Wazuh logtest 输出来检查解码器结果,验证默认规则行为,排查自定义 auditd 规则,纠正字段不匹配,并验证微调后的子规则。 相关支持文件: - [第 02 章节深入分析](docs/02-wazuh-custom-alert-rule-engineering.md) - [Wazuh 本地规则](configs/wazuh/local_rules.xml) ### 第 03 章节 - Elastic 查询语言与调查模式 本章节展示了在 Kibana 中使用 KQL 和 Lucene 进行调查搜索的模式。该工作流涵盖了精确字段过滤、通配符扩展、布尔逻辑、日期和数字范围、正则表达式、模糊搜索和邻近搜索。 相关支持文件: - [第 03 章节深入分析](docs/03-elastic-query-languages-investigation-patterns.md) - [KQL 和 Lucene 查询记录](queries/section-03-kql-lucene-queries.md) ### 第 04 章节 - Slingshot 攻击重建 本章节展示了使用 Elastic 中的 Apache 日志证据进行的实际 SOC 调查和攻击重建。该调查遵循了字段发现、攻击者识别、user-agent 分析、枚举、暴力身份验证、上传活动、Web Shell 执行、LFI 式访问以及 phpMyAdmin 数据库/表访问的过程。 相关支持文件: - [第 04 章节深入分析](docs/04-slingshot-attack-reconstruction.md) - [Slingshot 调查查询记录](queries/section-04-slingshot-investigation-queries.md) ### 第 05 章节 - 进阶 ELK 回顾与分析师经验 综合章节将本工作簿转化为可迁移的 SOC 经验。核心技能不是记忆语法。核心技能是将原始事件转换为已验证的字段,将已验证的字段转换为检测,将检测转换为有针对性的查询,并将有针对性的查询转换为有理有据的事件叙述。 相关支持文件: - [第 05 章节分析师经验](docs/05-advanced-elk-recap-analyst-lessons.md) ## 范围 本工作簿展示了在受控实验室环境中的 Elastic 和 Wazuh 动手工作流。它并未声称拥有企业 SIEM 部署的生产所有权。敏感的身份验证材料和私有的练习 artifact 在发布前已被排除或进行了脱敏处理。
标签:CISA项目, Elastic Stack, MIT许可证, URL发现, Wazuh, 内容过滤, 安全检测, 安全运营, 扫描框架, 流量重放, 越狱测试