gabrielmarquezcyber/elastic-wazuh-detection-operations-workbook
GitHub: gabrielmarquezcyber/elastic-wazuh-detection-operations-workbook
一份基于 Elastic Stack 与 Wazuh 的 SOC 检测运营实战工作簿,展示从日志采集、规则工程、查询调查到攻击重建的完整安全运营能力链。
Stars: 0 | Forks: 0
# Elastic 与 Wazuh 检测运营工作簿
**公开作品集 artifact** | **受控实验室环境** | **最后更新:2026-07-01**
本工作簿展示了实用的 Elastic Stack 与 Wazuh 检测运营工作:构建 Logstash 采集 pipeline,在 Kibana 中验证已解析的事件,设计自定义 Wazuh 规则,使用 KQL 和 Lucene 进行调查追踪,以及根据 Apache 日志证据重建 Web 应用程序入侵过程。
该 artifact 专为审查者审阅而构建。根目录的 README 提供了可视化验证路径。各章节文档提供了更深入的技术演示。源文件保留了确切的 pipeline、规则和查询 artifact。
## 这证明了什么
| 能力 | 证据 |
|---|---|
| 日志采集与解析 | Logstash pipeline 读取 Linux 身份验证日志,使用 Grok 解析字段,规范化时间戳,并将事件发送到 Elasticsearch。 |
| 检测规则工程 | 使用 Wazuh logtest 输出来检查解码后的字段,排查失败的自定义规则,纠正字段逻辑,并验证子规则。 |
| SIEM 查询熟练度 | 使用 KQL 和 Lucene 进行精确过滤、通配符、布尔追踪、范围、正则表达式、模糊搜索和邻近搜索。 |
| 攻击重建 | 使用 Apache 日志证据识别攻击者来源、工具序列、暴力破解、上传行为、Web Shell 执行、LFI 和数据库访问。 |
| 分析师报告 | 将截图、源文件、查询记录和验证映射组织成面向审查者的证据链。 |
## 可视化验证亮点
### 1. Kibana 中已解析的 Linux 身份验证事件

审查者要点:
Logstash pipeline 不仅完成了配置。它还通过 Kibana 中可见的已解析 Linux 身份验证事件(包括结构化字段和规范化时间戳)进行了验证。
### 2. Wazuh 解码字段排查

审查者要点:
Wazuh 规则工程工作流展示了字段级别的排查。第一条自定义规则失败是因为它针对了错误的解码字段。解码器输出揭示了应该匹配的正确字段。
### 3. 纠正后的自定义 Wazuh 规则验证

审查者要点:
在将字段从 `audit.cwd` 纠正为 `audit.directory.name` 后,自定义规则 100002 按预期触发。这展示了检测排查能力,而不仅是编写规则。
### 4. Lucene 正则表达式调查追踪

审查者要点:
Elastic 调查章节展示了对分析师评论和受影响文件名使用 Lucene 的实际操作。该章节还记录了一条纠正后的查询路径,其中结构化的事件类型和分析师的评论文本产生了不同的结果计数。
### 5. 通过字段统计识别攻击者

审查者要点:
Slingshot 调查通过字段统计的优势而不是假设来识别攻击者来源。主要来源产生了 3,028 个事件中的 2,565 个。
### 6. Web Shell 命令证据

审查者要点:
攻击重建遵循了从枚举和暴力破解到上传活动和 Web Shell 执行的顺序。通过 Apache 日志证据识别到了第一个观察到的命令。
## 快速审查路径
| 审查领域 | 从这里开始 |
|---|---|
| 审查者验证映射 | [reviewer-proof-map.md](reviewer-proof-map.md) |
| 章节文档 | [docs/README.md](docs/README.md) |
| Logstash 配置 | [configs/logstash/auth.conf](configs/logstash/auth.conf) |
| Wazuh 规则 | [configs/wazuh/local_rules.xml](configs/wazuh/local_rules.xml) |
| Elastic 查询记录 | [queries/section-03-kql-lucene-queries.md](queries/section-03-kql-lucene-queries.md) |
| Slingshot 查询记录 | [queries/section-04-slingshot-investigation-queries.md](queries/section-04-slingshot-investigation-queries.md) |
## 检测运营映射
| 层级 | 章节 | 分析师价值 |
|---|---|---|
| Pipeline | [第 01 章节 - Logstash 采集、处理与转换](docs/01-logstash-collection-processing-transformation.md) | 将原始的 Linux 身份验证日志转换为 Elasticsearch 中已解析且时间戳规范的事件。 |
| 检测 | [第 02 章节 - Wazuh 自定义告警规则工程](docs/02-wazuh-custom-alert-rule-engineering.md) | 将解码的事件字段转换为自定义告警逻辑并验证规则行为。 |
| 查询 | [第 03 章节 - Elastic 查询语言与调查模式](docs/03-elastic-query-languages-investigation-patterns.md) | 使用 KQL 和 Lucene 进行过滤、追踪和验证调查证据。 |
| 调查 | [第 04 章节 - Slingshot 攻击重建](docs/04-slingshot-attack-reconstruction.md) | 根据 Apache 日志证据重建攻击者行为。 |
| 综合 | [第 05 章节 - 进阶 ELK 回顾与分析师经验](docs/05-advanced-elk-recap-analyst-lessons.md) | 将 pipeline、检测、查询和重建工作结合成可迁移的 SOC 经验。 |
## 章节概述
### 第 01 章节 - Logstash 采集、处理与转换
本章节展示了 pipeline 层。Logstash 作为运行服务被安装、启用和验证。自定义 pipeline 采集了 Linux 身份验证日志,使用 Grok 解析字段,使用 Date 过滤器规范化时间戳,并将结构化事件发送到 Elasticsearch 以便在 Kibana 中进行验证。
相关支持文件:
- [第 01 章节深入分析](docs/01-logstash-collection-processing-transformation.md)
- [Logstash 身份验证 pipeline](configs/logstash/auth.conf)
### 第 02 章节 - Wazuh 自定义告警规则工程
本章节展示了检测逻辑层。使用 Wazuh logtest 输出来检查解码器结果,验证默认规则行为,排查自定义 auditd 规则,纠正字段不匹配,并验证微调后的子规则。
相关支持文件:
- [第 02 章节深入分析](docs/02-wazuh-custom-alert-rule-engineering.md)
- [Wazuh 本地规则](configs/wazuh/local_rules.xml)
### 第 03 章节 - Elastic 查询语言与调查模式
本章节展示了在 Kibana 中使用 KQL 和 Lucene 进行调查搜索的模式。该工作流涵盖了精确字段过滤、通配符扩展、布尔逻辑、日期和数字范围、正则表达式、模糊搜索和邻近搜索。
相关支持文件:
- [第 03 章节深入分析](docs/03-elastic-query-languages-investigation-patterns.md)
- [KQL 和 Lucene 查询记录](queries/section-03-kql-lucene-queries.md)
### 第 04 章节 - Slingshot 攻击重建
本章节展示了使用 Elastic 中的 Apache 日志证据进行的实际 SOC 调查和攻击重建。该调查遵循了字段发现、攻击者识别、user-agent 分析、枚举、暴力身份验证、上传活动、Web Shell 执行、LFI 式访问以及 phpMyAdmin 数据库/表访问的过程。
相关支持文件:
- [第 04 章节深入分析](docs/04-slingshot-attack-reconstruction.md)
- [Slingshot 调查查询记录](queries/section-04-slingshot-investigation-queries.md)
### 第 05 章节 - 进阶 ELK 回顾与分析师经验
综合章节将本工作簿转化为可迁移的 SOC 经验。核心技能不是记忆语法。核心技能是将原始事件转换为已验证的字段,将已验证的字段转换为检测,将检测转换为有针对性的查询,并将有针对性的查询转换为有理有据的事件叙述。
相关支持文件:
- [第 05 章节分析师经验](docs/05-advanced-elk-recap-analyst-lessons.md)
## 范围
本工作簿展示了在受控实验室环境中的 Elastic 和 Wazuh 动手工作流。它并未声称拥有企业 SIEM 部署的生产所有权。敏感的身份验证材料和私有的练习 artifact 在发布前已被排除或进行了脱敏处理。
标签:CISA项目, Elastic Stack, MIT许可证, URL发现, Wazuh, 内容过滤, 安全检测, 安全运营, 扫描框架, 流量重放, 越狱测试