DaPhilll/Wazuh-Deployment
GitHub: DaPhilll/Wazuh-Deployment
基于 Wazuh 构建的集中式 SIEM/XDR 检测工程项目,通过自定义规则调优与模拟对抗行为来解决企业遥测中的告警疲劳和可见性盲区问题。
Stars: 0 | Forks: 0
# 集中式 SIEM/XDR 工程:基于 Wazuh 的多平台遥测聚合与检测工程
## 仓库结构
```
/scripts
deploy-agent.ps1
harden-manager.sh
/rules
local_rules.xml
LICENSE
README.md
```
## 1. 执行摘要与目标
* **问题陈述:** 企业环境在遥测数据流缺乏调优时,往往会面临可见性盲区和告警疲劳,导致难以从常规系统活动中区分出高保真的入侵指标。
* **解决方案概述:** 本项目构建了一个完整的检测工程闭环:中央 Wazuh (v4.11) 管理平面、跨隔离网络的自动化端点遥测转发、模拟的对抗行为,以及用于减少摄入噪声的自定义规则覆盖。
* **核心能力:**
* 具有状态传输层访问控制的分段网络架构。
* 主机安全 agent 的无头部署。
* 映射到 Windows 安全事件日志的行为威胁模拟。
* 持续的漏洞评估与检测逻辑调优。
## 2. 架构与环境拓扑
该实验室采用硬件级虚拟化和独立的二层广播域来模拟企业内部网络。此相同环境被复用于相关的检测、SOAR、IDS 和漏洞管理项目中。
* **部署环境:** VMware Workstation Pro
* **网段:** `10.10.0.0/24`(桥接网卡,受主机防火墙限制)
* **管理平面:** Ubuntu Server — `SRV-SOC01`(8 GB RAM,本地索引卷)
* **端点:** Windows 10 Enterprise — `WKSTN-01`(8 GB RAM)
* **域控制器:** Windows Server — `SRV-DC01`
* **SIEM/XDR 核心:** Wazuh Manager & Indexer (v4.11) 以及 OpenSearch Dashboards
## 3. 工程思考过程与方法论
* **设计考量:** 桥接网卡为端点和 Wazuh 管理器之间提供了直接的二层可视路径,从而产生真实的传输层交互。Wazuh 被选为日志聚合、合规性跟踪和主动端点检测的统一平台。
* **技术挑战与解决方案:**
* **挑战:** 高频的常规进程创建触发了默认规则 60107,导致日志量因误报而膨胀。
* **解决方案:** 通过分析原始 JSON 遥测数据建立操作基准,随后在 `local_rules.xml` 中编写了自定义覆盖规则,针对已知 `SYSTEM` 账户的父进程路径进行过滤,从而降低了实验室环境中的基准摄入噪声。
## 4. 网络杀伤链与威胁生命周期映射
* **投递:** 通过下载方式模拟恶意指标投递,以验证主机反恶意软件遥测捕获能力。
* **目标操作:** 生成连续的身份验证失败,以模拟暴力凭证访问并验证多事件关联。
## 5. MITRE ATT&CK 矩阵对齐
| 战术 | 技术 ID | 技术名称 | 检测机制 |
| :--- | :--- | :--- | :--- |
| **凭据访问** | T1110 | 暴力破解 | 聚合 Windows Event ID 4625,通过 Wazuh Rule ID 60122 (Level 5) 进行关联。 |
| **执行** | T1204.002 | 恶意文件 | 通过 Rule ID 61603 解析 Windows Defender 事件通道,以暴露 payload 路径。 |
| **防御规避** | T1562.004 | 禁用或修改系统防火墙 | 在端口 1514 上实施有状态主机防火墙(UFW、Windows Defender Firewall)。 |
## 6. 集成的遥测与漏洞情报
* **Wazuh 漏洞检测器:** 自动化的软件资产审计,将已安装的端点应用程序与 CVE 库进行交叉比对,并根据风险评级和未完成的补丁状态对发现的问题进行分类。
## 7. 实施与配置
### 无头 Agent 部署
`scripts/deploy-agent.ps1`
```
# 检索 deployment package
Invoke-WebRequest -Uri "https://packages.wazuh.com/4.11/windows/wazuh-agent-4.11-1.msi" -OutFile "wazuh-agent.msi"
# 使用 management plane 参数进行静默安装
msiexec /i "wazuh-agent.msi" /quiet SERVERIP="10.10.0.10" SERVERPORT="1514"
# 启动 agent service
Start-Service WazuhSvc
```
### 自定义调优规则
`rules/local_rules.xml`(部署至 `/var/ossec/etc/rules/local_rules.xml`)
```
60107
SYSTEM
C:\\Windows\\System32\\services.exe
Tuning: Suppress routine SYSTEM-level service initializations to reduce ingestion volume.
```
### 主机网络强化
`scripts/harden-manager.sh`
```
sudo ufw enable
sudo ufw allow 1514/udp # Telemetry ingestion
sudo ufw allow 1514/tcp # Telemetry ingestion
sudo ufw allow 1515/tcp # Agent registration
sudo ufw allow 55000/tcp # REST API management
sudo ufw allow 9200/tcp # Indexer API
sudo ufw allow 5601/tcp # Web dashboard
```
## 8. 操作验证与确认
### 用例 1:暴力破解身份验证 (T1110)
* **模拟:** 使用无效凭据执行快速身份验证尝试:
net use \\localhost /user:fakeuser invalidpassword123
* **验证:** 管理器将突发的大量 Event ID 4625 条目进行关联,并根据 Rule ID 60122 升级为 Level 5 告警。
### 用例 2:通过 EICAR 投递恶意指标 (T1204.002)
* **模拟:** 将标准的 EICAR 反恶意软件测试字符串写入本地存储:
Set-Content -Path "C:\Users\Public\eicar_test.txt" -Value 'X5O!P%@AP[4\PX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*'
* **验证:** Windows Defender 拦截了该文件。Wazuh 摄入此防御事件,触发了 Rule ID 61603,并在 OpenSearch 中显示了文件路径和签名分类。
## 9. 强化与未来增强功能
* **当前状态:** 管理器通过 UFW 强制执行入站边界。端点通过受 Windows Defender Firewall 规则限制的经过身份验证的通道进行传输。
* **未来路线图:**
* [ ] 配置 Active Response 剧本,以在达到暴力破解阈值时在主机层阻断源 IP。
* [ ] 集成边缘网络组件(OPNsense)的 syslog 摄入。
## 许可证
MIT — 查看 [许可证](./LICENSE)。
## 附录:参考分析与安全运营可见性
### 安全事件监控平台概述

*图 1:中央监控界面,显示实时分析事件遥测、映射的安全告警阈值、身份验证流量跟踪以及系统性能遥测。*
### 中央遥测机群管理面板

*图 2:端点管理资产清单面板,用于验证活跃 agent 连接向量、OS 分布足迹、加密握手验证以及实时连接跟踪状态。*
### 细粒度端点审计界面

*图 3:隔离端点流的深度剖析视图,聚合了独特的取证系统元数据、配置基线、合规性指标以及活跃的威胁模块。*
### 持续漏洞跟踪仪表盘

*图 4:资产暴露矩阵,跟踪主机上已识别的软件缺陷和未修复的漏洞,并根据系统性的 CVE 严重性等级自动排定优先级。*
### 无人值守遥测注入执行

*图 5:提升权限的命令执行界面,从管理平面静默部署遥测转发 agent 包,同时附加严格的注册标准。*
[](https://github.com/DaPhilll)
[](https://github.com/DaPhilll)
标签:AI合规, Libemu, Wazuh, 安全告警调优, 安全运营中心, 应用安全, 日志聚合, 网络映射