2023/10/28 更新目錄
以下是本系列文章的目錄

一個人的藍隊

• SOC visibility triad & Observability
  • SOC 鐵三角 (SOC visibility triad) 與 可觀測性三本柱 (Observability)
• Cyber Defense Matrix
  • 透過 CDM (Cyber Defense Matrix) 框架規劃藍隊防禦策略
• Wazuh XDR & SIEM
  • 甚麼是Wazuh？打造你的鷹眼
  • 第一次架設Wazuh就上手
  • Wazuh Agent安裝與介面查看
  • Wazuh 架構
  • Wazuh的管理和設定
  • Wazuh 檢測能力POC：Part 1
  • Wazuh 檢測能力POC：Part 2
  • Wazuh 檢測能力POC：Part 3
  • Wazuh 自訂規則撰寫及關聯分析
  • Wazuh Log路徑位置指定與agent多重group除錯
  • 管理與刪除Agent (順便安裝Mongodb)
  • Wazuh Decoder與監控容器日誌(監控Mongo)
  • Wazuh Change Password 這個坑
  • Wazuh 整合 Telegram 告警通知
  • Anti-flooding mechanism 防止洪水機制
  • Wazuh agent 密碼驗證機制
  • Wazuh 備份與升版
• OpenVAS (Greenbone)
  • OpenVAS 開源弱點檢測平台架設與架構說明
  • OpenVAS 弱點掃描設定與檢測執行
• OpenCVE
  • OpenCVE 開源CVE弱點預警平台架設
  • OpenCVE 資訊說明，從 CVE、NVD 到 CVSS
• OpenCTI
  • OpenCTI 開源威脅情資平台架設（包含 Connectors 安裝）
  • 威脅情資介紹：OpenCTI 操作介面
  • OpenCTI 使用範例
• Infrastructure as Code
  • 利用 IaC 來進行 Hardening 安全強化
• Compliance as Code
  • Compliance as Code 入門：利用 Inspec 進行合規檢查
• Container Security
  • 容器安全：CIS Docker Benchmark 實踐
• SSH
  • SSH 的防禦：以及藍隊開源工具補充

在數位戰場之中，藍隊作為企業組織資安防護的關鍵角色，不少公司都會打造堅韌的防禦團隊或是採用SOC資安委外監控服務。而台灣有許多的中小企業，可能無法有足夠的資源去打造一個專屬的資安防禦團隊，沒辦法聘用多個不同性質的資安人員，只能當個兼任的工程師，形成了一人多工的情況。

別人是Blue Team的時候，而你是Blue Man，要如何能夠與之抗衡呢？本系列的文章會以一個人的藍隊角度出來，分享在中小規模的組織當中，如何在有限的資源下做好資安防護。內容會側重技術，並以防禦策略、威脅情資、安全監控、弱點管理、合規檢查為主要方向進行。

整個系列的文章其實大部分就是來自於過往的一些筆記的整理。今天是開賽的第一篇文章，會介紹這個系列中第一個會介紹的工具與解決方案 - 就是具有SIEM與EDR技術的開源平台Wazuh。Wazuh因為功能挺強大的，所以可能也花上不少篇的內容來介紹。

甚麼是Wazuh?

Wazuh則是一個強大的開源安全監控和事件管理平台，可以讓你打造自己的資訊安全活動監控，在公司組織當中開啟你的鷹眼，時時刻刻監視所有安全活動。

Wazuh 可用來幫助組織實即時識別、評估和回應各種資訊安全事件。它結合了強大的資訊安全功能，如入侵偵測、漏洞管理和日誌分析，為組織提供了綜合的資訊安全解決方案。

Wazuh 的功能

入侵偵測

Wazuh 通過監控系統和網路活動，識別和警報可能的入侵事件。它可以檢測惡意登入行為、惡意程式行為和其他可能的攻擊行為跟可疑的活動。這有助於組織及早發現和應對潛在的安全威脅。

強大的規則引擎

Wazuh 提供強大的規則引擎，可以根據特定的事件模式和行為樣式來生成警報。它也支持自定義規則，讓你根據組織的需求建立自己的警報機制。

漏洞管理

Wazuh 可以幫助組織識別和評估系統中的漏洞，從而有助於及早解決可能的安全問題。它整合了漏洞資料庫，讓你能夠追蹤和管理系統中的弱點。

日誌分析

Wazuh 可以監控和分析系統和應用程式的日誌，從中識別不正常的行為。這有助於識別可能的威脅，並支持安全事件的調查和分析。

資訊安全合規性

Wazuh 提供內建的合規性規則檢查，可以幫助組織符合各種資訊安全標準和法規，如PCI DSS、HIPAA等。這有助於確保組織的資訊安全政策和實踐遵循標準。

Wazuh 的優勢

Wazuh 提供了一個對於日誌跟端點監控的完整安全解決方案，有助於組織在不斷變化的資訊安全環境中保護自己。並且Wazuh是一個開源免費的解決方案，對於沒有足夠預算採用商業解決方案的團隊是一個很好的選擇。技術層面上它也具有足夠的彈性，讓你可以根據自己組織的需求進行客製和擴展，從而實現最佳的資安防護。

透過Wazuh廣泛的功能，可以幫助組織建立起強大的資訊安全鷹眼，讓你可以監控和保護你的系統和資訊，偵測到可能潛在的安全攻擊和行為。無論是中小企業還是大型組織，Wazuh 都是可以採用的工具，幫助你構建堅固的資訊安全防線。Wazuh 就像你的鷹眼，隨時警惕並保護你的資訊資產免受外部威脅。

不過上面的內容都是說得漂亮的話，關於Wauzh口頭介紹大概就這樣，接下來會花幾篇文章介紹如何架設Wazuh Server，以及安裝agent，還有設定管理的文章。每一篇內容都會跟實作相關，為了讓想要跟著學習操作的人可以順利，這邊先說一下，我接下來所架設的機器以及一些資訊：

首先，我是利用VMware Workstation 15.5.5
總共架設了三台Ubuntu 22.04 (只架設完一台，安裝完需要的工具。另外兩台是用vmware clone建立的)

以下是作業系統與docker，docker-compose版本資訊

wazuh@wazuh-vm:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 22.04.3 LTS
Release:	22.04
Codename:	jammy

wazuh@wazuh-vm:~$ docker version
Client: Docker Engine - Community
 Version:           24.0.5
 API version:       1.43
 Go version:        go1.20.6
 Git commit:        ced0996
 Built:             Fri Jul 21 20:35:18 2023
 OS/Arch:           linux/amd64
 Context:           default

Server: Docker Engine - Community
 Engine:
  Version:          24.0.5
  API version:      1.43 (minimum version 1.12)
  Go version:       go1.20.6
  Git commit:       a61e2b4
  Built:            Fri Jul 21 20:35:18 2023
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          1.6.22
  GitCommit:        8165feabfdfe38c65b599c4993d227328c231fca
 runc:
  Version:          1.1.8
  GitCommit:        v1.1.8-0-g82f18fe
 docker-init:
  Version:          0.19.0
  GitCommit:        de40ad0

wazuh@wazuh-vm:~$ docker-compose version
docker-compose version 1.29.2, build unknown
docker-py version: 5.0.3
CPython version: 3.10.12
OpenSSL version: OpenSSL 3.0.2 15 Mar 2022