記不記得之前我們有接過很多日誌回報的事件調查，讓今天的話，我們就更深入一點，用一些工具來做威脅情報的整合跟弱點的掃描吧，但是製作真的需要花一些些時間，所以可能30天後才會把畫面放在文章中

一、威脅情報簡介與訂閱

1. 威脅情報（Threat Intelligence, TI）提供的是惡意IP、惡意域名、惡意檔案Hash的指標（IOC），幫助提前識別攻擊跡象。

2. 建議使用開源免費威脅情報來源，例如：

   • AlienVault OTX (https://otx.alienvault.com)
   • Abuse.ch (https://abuse.ch/)
   • MalwareBazaar (https://bazaar.abuse.ch)

3. 可先註冊AlienVault OTX帳號，瀏覽並訂閱你感興趣的威脅聯盟情資。

二、手動將威脅情報加入Wazuh規則

1. 登入Kibana管理介面，進入Wazuh App > Rules > Rules List。

2. 手動新增自訂規則或調整現有規則，將特定IOC加入，例如監控特定惡意IP或Hash。

3. 利用Wazuh的active response功能可自動化對檢測到的危險指標做封鎖 (這部份可留待Day 4深化)。

三、安裝與使用OpenVAS進行弱點掃描

1. 安裝OpenVAS (Greenbone Vulnerability Manager)

sudo apt update
sudo apt install -y openvas

2. 啟動OpenVAS並初始化（第一次啟動需花些時間建指紋庫）

sudo gvm-setup
sudo gvm-check-setup
sudo gvm-start

3. 開啟瀏覽器，連結到OpenVAS Web介面 (https://<你的伺服器IP>:9392)

4. 登入管理帳號，建立新的掃描任務，設定目標為你的監控區域IP段。

5. 執行掃描，完成後檢視報告，重點檢視高風險漏洞與修補建議。

四、將威脅情報和掃描結果結合監控策略

1. 根據OpenVAS掃描結果，高風險漏洞列入優先處理清單。

2. 根據TI資料，更新與調整Wazuh規則與告警，特別針對常見IOC及漏洞利用嘗試。

3. 利用Kibana設計Dashboard呈現漏洞趨勢與威脅情報警報。

五、測試示範：「模擬惡意IP進入日誌觸發警告」

1. 從TI訂閱來的惡意IP範例中，模擬流量或手動將該IP加入Wazuh監控規則。

2. 觀察Kibana上是否產生相應事件與告警。