wazuh 是一款开源的 SIEM/XDR 平台,结合 Sysmon(Microsoft 的系统监控工具)可以显著提升 Windows 端点的日志可见性,尤其适合中小型 SOC(Security Operations Center)部署。Sysmon 能记录进程创建、网络连接、文件修改等高价值事件,Wazuh 则负责集中收集、解析、规则匹配和告警可视化。
准备工作
Wazuh Server:一台 Linux 服务器(推荐 Ubuntu 22.04/24.04 或 CentOS/RHEL 8/9),最低配置参考:1-25 个端点:4 vCPU + 8GB RAM + 50GB 存储
25-50 个端点:8 vCPU + 8GB RAM + 100GB 存储
端点:Windows 10/11 或 Windows Server(需管理员权限)
防火墙开放端口:Wazuh Server:1514/UDP(Agent 通信)、55000/TCP(Agent 注册)、443/TCP(Dashboard)
网络:Server 和 Agent 能互相通信
步骤 1:部署 Wazuh Server(All-in-One,一键安装)在 Linux 服务器上执行以下命令(官方 Quickstart,最快方式):bash
curl -sO https://packages.wazuh.com/4.14/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
安装完成后:Dashboard 地址:https://<你的服务器IP>
默认用户名:admin
密码:在安装输出中显示,或执行 sudo tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt 查看
首次登录可能需要接受自签名证书警告
安装完毕后,建议禁用自动更新仓库(生产环境推荐):
sed -i "s/^deb /#deb /" /etc/apt/sources.list.d/wazuh.list && apt update
此时 Wazuh 的 Manager + Indexer + Dashboard 已全部就绪。
步骤 2:部署 Wazuh Agent 到 Windows 端点在 Wazuh Server 的 Dashboard 登录后,进入 Agents → Deploy new agent,或直接下载最新 Agent:下载地址:https://packages.wazuh.com/4.x/windows/wazuh-agent-4.14.4-1.msi
推荐使用命令行安装(以管理员 PowerShell 执行):powershell
.\wazuh-agent-4.14.4-1.msi /q WAZUH_MANAGER="<Wazuh_Server_IP>"
启动服务:
Start-Service wazuhsvc
Agent 会自动向 Server 注册(几秒内即可在 Dashboard 的 Agents 列表中看到)。
步骤 3:在 Windows 端点安装并配置 SysmonSysmon 是提升检测能力的关键。下载 Sysmon(官方最新版):下载地址:https://download.sysinternals.com/files/Sysmon.zip
解压到任意目录(如 C:\Sysmon)。
下载 Wazuh 官方推荐的 Sysmon 配置(已优化,适合 Wazuh 规则解析):powershell
以管理员 PowerShell 执行
Invoke-WebRequest -Uri "https://wazuh.com/resources/blog/emulation-of-attack-techniques-and-detection-with-wazuh/sysmonconfig.xml" -OutFile "C:\Sysmon\sysmonconfig.xml"
安装 Sysmon:powershell
cd C:\Sysmon
.\Sysmon64.exe -accepteula -i sysmonconfig.xml
验证 Sysmon 是否运行:powershell
Get-Service Sysmon64
提示:如果你想使用更全面的配置(如 Olaf Hartong 的 Sysmon-Modular),可以替换 sysmonconfig.xml 文件后再执行 -i 安装。
步骤 4:配置 Wazuh Agent 收集 Sysmon 日志编辑 Agent 配置文件(管理员权限):路径:
C:\Program Files (x86)\ossec-agent\ossec.conf
在 <ossec_config> 标签内添加以下内容(推荐放在文件末尾):
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>重启 Wazuh Agent:
Restart-Service wazuhsvc
Wazuh 内置了 Sysmon 规则(规则 ID 61600-62099),会自动解析事件并触发告警。
步骤 5 :验证并开启 SOC 功能回到 Wazuh Dashboard:Agents 页面确认 Agent 在线且 Sysmon 日志已开始上报(几分钟后可见)。
Security events / Alerts 页面搜索 sysmon 或 rule.groups: sysmon 查看事件。
Vulnerability Detection、File Integrity Monitoring (FIM)、Rootcheck 等模块默认已启用,可直接使用。
SOC 常用功能配置(推荐立即开启):集中管理 Agent 配置:在 Dashboard → Agent groups 新建一个 Group(如 "Windows-Sysmon"),把所有 Windows Agent 加入,然后在 Group 配置中统一推送 localfile 配置(无需一台台改)。
告警规则与仪表板:Wazuh 已内置大量 MITRE ATT&CK 规则和 Sysmon 检测逻辑。
邮件/Slack/Teams 告警:在 Server management → Global configuration 配置。
主动响应(Active Response):可配置自动隔离进程、封堵 IP 等。
测试:运行 whoami 或简单脚本,观察 Dashboard 是否产生 Sysmon 相关告警。
额外进阶建议(让 SOC 更完善)Sysmon 配置优化:推荐使用社区优秀配置(如 SwiftOnSecurity 或 GitHub 上的 Sysmon_Config_for_Wazuh),定期通过 Wazuh Group 推送更新。
扩展工具:结合 TheHive + Cortex(Incident Response)或 Shuffle(SOAR)组成完整 SOC。
高可用:后期可升级为多节点集群(Indexer + Manager 集群)。
监控自身:在 Wazuh Dashboard 的 Security operations → IT Hygiene 查看资产库存和合规情况。
日志保留:默认 90 天,可在 indexer 配置中调整。
完成以上步骤后,你就拥有了一个功能完整的 Wazuh + Sysmon SOC:实时威胁检测、告警、可视化仪表板、合规模块一应俱全。