YassTen/SIEM-XDR-Wazuh
GitHub: YassTen/SIEM-XDR-Wazuh
基于 Wazuh 的容器化 SIEM/XDR 平台,提供威胁检测、自动响应和云威胁情报集成的企业级安全监控方案。
Stars: 0 | Forks: 0
# SIEM 与 XDR 安全平台 - Wazuh
本仓库包含了一个基于 **Wazuh (SIEM/XDR)** 的完整安全监控与事件响应平台的配置文件、关联规则和技术文档。
该项目展示了如何在容器化的企业实验环境中设置威胁检测、自动主机隔离和基于云的威胁情报。
## 架构概述
- **VPN 网络 (Tailscale)**:私有虚拟网络(WireGuard 协议),用于隔离 agent 与 manager 的通信以及 syslog 转发。
- **Wazuh Manager (Docker 多节点)**:容器化环境,包含 1 个 Master manager、1 个 Worker manager、3 个 OpenSearch Indexer、Nginx 负载均衡器和一个 Dashboard。
- **防火墙加固 (UFW)**:外部端口被严格限制为仅允许私有的 Tailscale 子网(`100.0.0.0/8`)访问。
- **索引状态管理 (ISM)**:自动化的索引生命周期策略(热存储 30 天,冷存储最长 90 天,90 天后删除),以符合数据最小化和 GDPR 规则。
## 已实现的安全功能
### 1. 主动响应 (XDR)
自动缓解撞库攻击。一旦检测到在 120 秒内来自同一源 IP 的 5 次 SSH 登录失败尝试(规则 `100100`),Wazuh manager 就会指示 agent 触发 `firewall-drop` 脚本,在本地主机防火墙级别阻断攻击者的 IP 10 分钟。
### 2. 多事件关联(失陷检测)
对成功的主机失陷进行高级检测。自定义关联规则 `100101`(严重性级别 12)会在 20 秒的时间窗口内,同一源 IP 在一系列登录失败尝试后成功通过身份验证时,向 SOC 发出警报。
### 3. 云威胁情报 (VirusTotal)
对新创建或修改的文件进行实时分析。文件完整性监控 (FIM) 模块会捕获受监控系统目录(例如 `/etc`)中的文件哈希值,并查询 VirusTotal API。如果哈希值与威胁数据库中的条目匹配,则会触发警报(严重性级别 12),显示防病毒引擎的检测率。
## 文件结构
- `/rules/local_rules.xml`:用于暴力破解检测和成功 SSH 失陷的自定义 Wazuh 规则。
- `/server/ossec.conf`:Wazuh manager 的纯净配置(syslog 集成、主动响应和 VirusTotal 参数)。
- `/docs/walkthrough.md`:用于实际演示的详细测试场景和日志输出。
- `/docs/rapport_infra.md`:关于基础设施、网络安全和 RBAC 实现的技术文档。
标签:GitHub Advanced Security, Wazuh, x64dbg, 威胁情报, 安全加固, 安全运营, 开发者工具, 扫描框架, 红队行动, 自动化响应, 请求拦截