egwyl666/wazuh-soc-toolkit

GitHub: egwyl666/wazuh-soc-toolkit

该工具从 Wazuh SIEM 中自动提取高严重性告警的源 IP 并通过 AbuseIPDB 进行威胁情报富化,最终导出标准化 CSV 报告,解决 SOC 分析师每班次手动重复调查的问题。

Stars: 1 | Forks: 0

![Python](https://img.shields.io/badge/python-3.11%2B-blue) ![License](https://img.shields.io/badge/license-MIT-green) # Wazuh 告警监控与 IOC 富化工具 一款轻量级的 Python 工具,可以自动化 SOC 分析师每个班次手动执行的任务:从 Wazuh SIEM 中拉取近期的高严重性安全告警,从 Windows 和 Linux 的事件格式中提取源 IP,通过 AbuseIPDB 威胁情报检查这些 IP,并导出干净的 CSV 报告,以便进一步调查或交接。 作为家庭 SOC 实验室(Wazuh manager + Windows Domain Controller + Linux 终端)的一部分构建,用于检测和报告真实的模拟密码喷洒攻击(MITRE ATT&CK T1110)。 ## 功能说明 1. **查询 Wazuh Indexer**(OpenSearch),直接获取 `rule.level >= 7` 且属于 `authentication_failures` / `windows_security` 规则组的告警。 2. **规范 IP 提取**,以适配异构的事件结构 —— Windows 事件将源 IP 存储在 `data.win.eventdata.ipAddress` 下,而 Linux/syslog 事件则存储在 `data.srcip` 下。该工具会检查这两个路径,并过滤掉环回/内部噪音。 3. **通过 [AbuseIPDB](https://www.abuseipdb.com/) API 富化外部 IP**,跳过私有 IP 范围(`192.168.x`, `10.x`, `172.16-31.x`, `127.x`, `::1`),以避免将 API 配额浪费在绝不可能被列出的地址上。 4. **导出带有时间戳的 CSV 报告**,用于归档、提交工单或 IR 报告。 ## 输出示例 ``` [2026-07-12T02:18:46+0300] DC1 | level=10 | Multiple Windows Logon Failures | IP=192.168.50.102 (internal/private IP — skip) [2026-07-09T00:39:27+0300] pios | level=10 | sshd: brute force trying to get access | IP=192.168.50.102 (internal/private IP — skip) Saved 20 alerts to: soc_report_20260712_031013.csv ``` 家庭实验室的示例报告包含在 [`sample_report/`](sample_report/) 中。 ## 安装说明 ``` git clone https://github.com/egwyl666/wazuh-soc-toolkit.git cd wazuh-soc-toolkit pip install -r requirements.txt cp .env.example .env # 使用你自己的 Wazuh Indexer 密码和 AbuseIPDB API key 编辑 .env ``` ## 使用方法 ``` python3 alert_monitor.py ``` 直接在 Wazuh manager 主机上(或任何可以访问 Indexer `9200` 端口的地方)运行它。需要具有 Wazuh Indexer `admin` 级别(或只读范围)权限的用户以及一个免费的 [AbuseIPDB API key](https://www.abuseipdb.com/register)。 ## 开发初衷 在学习 SOC 分析师职位期间开发,旨在练习实际工作中那些在教程中见不到的部分:处理不同 OS 类型间不一致的日志 schema、避免浪费 API 调用,以及将原始 SIEM 输出转化为人类真正可以在报告中交接的内容 —— 而不仅仅是检测到告警就到此为止。 ## 技术栈 - Python 3.11+ - Wazuh 4.x (Indexer / OpenSearch REST API) - [AbuseIPDB](https://www.abuseipdb.com/) API v2 ## 许可证 MIT
标签:MSSQL, Python, Wazuh, 威胁情报, 开发者工具, 无后门, 网络调试, 自动化