一、設定Wazuh基礎監控規則

1. 登入Kibana管理介面（http://<伺服器IP>:5601），使用帳號admin/admin。

2. 進入左側功能表，選擇Wazuh App > Rules。

3. 在Rules頁面，你會看到系統預設的多個規則群組，例如：

   • authentication (認證事件)
   • malware (惡意軟體活動)
   • rootkit (系統潛伏威脅)
   • syscheck (系統變更監控)

4. 建議先啟用以下規則套件：

   • Authentication異常登入檢測（如SSH登入失敗）
   • 可以監控特權命令或root行為（惡意活動指標）
   • 系統檔案變更（syscheck）告警

5. 如果需要，可進入特定規則細節，調整嚴重性（severity）及是否啟用（enabled），修改後點擊Save。

6. 設定完成後，Wazuh會自動開始監控符合規則的事件，並在Kibana生成警示。

二、安裝與設定Suricata入侵偵測系統

1. 更新系統套件庫

sudo apt update

2. 安裝Suricata

sudo apt install -y suricata

3. 啟用並設定Suricata開機自動運行

sudo systemctl enable suricata
sudo systemctl start suricata

4. 驗證Suricata狀態

sudo systemctl status suricata

5. 設定Suricata介面（假設使用主要網路介面eth0，依你的環境調整）

sudo nano /etc/suricata/suricata.yaml

找到 af-packet 區塊(或 interface)，設定監控介面為eth0（或其他實際網卡名稱）：

af-packet:

• interface: eth0
  threads: 4
  cluster-id: 99
  cluster-type: cluster_flow

存檔後重新啟動Suricata:

sudo systemctl restart suricata

6. Suricata會將日誌寫入 /var/log/suricata/，其中eve.json格式為JSON事件日誌。

三、將Suricata日誌整合至ELK

1. 安裝Filebeat（輕量級日誌收集器）

sudo apt install -y filebeat

2. 編輯Filebeat配置，加入Suricata日誌輸入

sudo nano /etc/filebeat/filebeat.yml

3. 在filebeat.inputs中新增：

• type: log
  enabled: true
  paths:
  • /var/log/suricata/eve.json
    json.keys_under_root: true
    json.add_error_key: true

4. 配置Filebeat輸出，發送到本地Elasticsearch

output.elasticsearch:
hosts: ["localhost:9200"]

5. 啟動並設定Filebeat自動啟動

sudo systemctl start filebeat
sudo systemctl enable filebeat

四、在Kibana建立監控儀表板和警告

1. 登入Kibana，點擊左側的Dashboard選單。

2. 新增Dashboard，建立視覺化元件，例如：

   • 搜尋Suricata事件 (event.module: suricata 或 fileset.name: suricata)
   • 可視化警告數量趨勢圖、事件來源IP統計
   • 監控Wazuh安全事件如異常登入、惡意程式執行次數

3. 在Kibana中設置告警（Alerts）：

   • 開啟Stack Management > Rules and Connectors
   • 建立規則監控某類事件，例如Suricata的特定事件或Wazuh警示
   • 設定通知方式（Email、Slack、Webhook等）

五、測試與驗證

1. 在被監控主機生成攻擊測試行為（如SSH失敗登入嘗試、模擬惡意流量）

2. 觀察Kibana中事件是否即時呈現與告警是否生效

最近有點小忙，所以可能有些畫面來不及截圖會在這個連假前補上的期待後續的發文吧！