Wazuh 4.12.0 Alpha 1中Microsoft Graph安全API集成测试报告

测试环境搭建

本次测试采用Wazuh 4.12.0 Alpha 1版本，构建了一个完整的端到端安全监控环境。测试环境包含以下组件：

1. 索引器、服务器和仪表板：部署在Red Hat Enterprise Linux 9.5系统上，采用一体化安装方式。硬件配置为4核AMD EPYC 7R32处理器，7.4GB内存和29GB存储空间。

2. 代理端：运行在Ubuntu 22.04.5 LTS系统上，硬件配置为16核Intel Core i7-12650H处理器，31GB内存和248GB存储空间。

安装过程通过官方提供的快速安装脚本完成，整个过程自动化程度高，包括安全凭证创建、服务配置等关键步骤。安装日志显示各组件均成功启动，无报错信息。

Microsoft Graph API集成配置

Microsoft Graph安全API集成是Wazuh云安全功能的重要组成部分，通过以下步骤完成配置：

1. 应用注册：在Azure门户中注册新应用，获取必要的客户端ID和租户ID。

2. 安全凭证：创建客户端密钥用于身份验证，密钥有效期为24个月。

3. API权限：为应用配置必要的API权限，包括SecurityEvents.Read.All、SecurityEvents.ReadWrite.All等安全相关权限。特别注意需要管理员同意才能生效。

4. 代理配置：在Wazuh代理配置文件中添加ms-graph模块配置，指定客户端ID、租户ID、密钥值等认证信息，并定义要监控的资源类型（如security、deviceManagement等）。

配置完成后，代理日志显示成功获取访问令牌并开始扫描租户，表明集成已正常工作。

安全事件模拟与测试

为了验证集成的有效性，我们进行了安全事件模拟测试：

1. 权限准备：测试发现需要两个关键角色才能完整测试功能：

   • Exchange管理员：用于配置策略和规则
   • 安全管理员：用于访问策略规则菜单和使用攻击模拟训练

2. 策略配置：在"策略与规则 > 威胁策略 > 预设安全策略"中配置测试用户的安全策略。

3. 模拟攻击：使用Microsoft 365 Defender门户中的攻击模拟工具，设置钓鱼邮件模拟攻击。将测试邮件标记为"恶意"以触发安全警报。

测试结果显示，Wazuh成功捕获了Microsoft Defender生成的安全事件，并在仪表板上展示了详细的警报信息。警报包含事件严重程度、创建时间、最后更新时间、资源类型、事件状态等关键信息。

测试发现与建议

1. 权限要求：完整测试需要Exchange管理员和安全管理员双重角色，建议在测试前确保账户具备这些权限。

2. 事件延迟：从触发安全事件到Wazuh接收到警报可能存在数小时的延迟，这是由Microsoft安全事件处理流程决定的。

3. 账户类型限制：测试发现必须使用工作或学校账户，个人Microsoft账户无法完成全部测试流程。

4. 评估实验室：建议优先使用Microsoft提供的评估实验室功能进行初步测试，再申请正式凭证进行深入验证。

结论

Wazuh 4.12.0 Alpha 1中的Microsoft Graph安全API集成功能工作正常，能够有效捕获和展示Microsoft安全生态系统中生成的安全事件。通过适当的配置和权限设置，企业可以将Microsoft安全产品产生的警报无缝集成到Wazuh的统一安全监控平台中，实现更全面的安全态势感知。

对于计划部署此功能的企业，建议提前规划好测试账户的权限申请，并了解Microsoft安全事件的处理延迟特性，以便制定合理的监控策略和响应流程。