在完成了一系列攻擊工具和理論的學習後，今天我將我的學習重心轉向防禦體系的核心：Wazuh。這不僅是一個開源的 主機入侵偵測系統（HIDS），更是我實習中接觸的 XDR/SIEM 解決方案的基礎。理解 Wazuh，就是理解現代資安防禦是如何運作的。

今天，我專注於 Wazuh 相關的部署和基礎配置學習，目標是掌握其監控原理。

Wazuh 的核心架構與價值

Wazuh 採用 Agent-Manager 架構，並與 ELK Stack（Elasticsearch, Kibana 等）深度整合，實現了對主機的全面安全監控：

• Agent（代理程式）： 部署在受保護的主機上。它是一個情報收集官，負責收集各種數據，例如系統日誌、檔案完整性狀態、配置資訊等。
• Manager（管理器）： 負責集中接收 Agent 傳來的海量數據，根據其內建的數千條規則進行即時分析（Real-time Analysis），並產生結構化的 警報（Alerts）。
• Kibana 介面： 提供數據視覺化，讓資安分析師能夠快速追蹤警報，並進行威脅狩獵（Threat Hunting）。

Wazuh 的三大防禦核心功能

Wazuh 在實戰中扮演了三個重要的角色，有效防禦了我們前面學習的多種攻擊：

• 日誌數據分析 (Log Data Analysis)： 這是我們 Day 18/19 學習的應用。Wazuh 會將系統日誌正規化後，偵測如暴力破解、異常登入等惡意行為。
• 檔案完整性監控 (File Integrity Monitoring, FIM)： 這是防禦提權攻擊的關鍵！Wazuh 持續監控如 /etc/passwd 等關鍵系統檔案。如果駭客試圖竄改這些文件，Wazuh 會立即發出警報。
• 配置評估與漏洞檢測： 它會檢查主機的安全配置是否符合標準，並掃描軟體版本是否有已知的漏洞，幫助我們在攻擊發生前修補防線。

今日挑戰心得：建立防禦者思維

今天的 Wazuh 學習，讓我真正將攻擊知識與防禦實務連結了起來。我現在知道，當我在攻擊機上嘗試執行某個惡意指令時，Wazuh Agent 正在目標主機上捕捉這些行為，並將其傳送到 Manager 進行分析。這種攻防兼備的思維，是我在 XDR 領域取得成功的關鍵。