Wazuh大屏展示：安全态势的可视化监控大屏

1. 安全监控大屏的核心价值

在现代企业安全架构中，可视化监控大屏已成为安全运营中心（SOC）的神经中枢。Wazuh作为开源安全平台，通过其扩展检测与响应（XDR）和安全信息与事件管理（SIEM）能力，将分散的安全数据转化为直观的可视化仪表盘，解决了传统安全监控中"数据过载但洞察不足"的核心痛点。

安全管理人员面临的典型挑战包括：

• 多源异构数据难以整合（日志、告警、资产、漏洞等）
• 安全事件实时性要求与人工分析延迟的矛盾
• 复杂攻击链难以通过孤立告警识别
• 管理层需要直观了解整体安全态势

Wazuh大屏通过集中化数据采集→标准化处理→多维度可视化→智能告警的全流程解决方案，将安全数据转化为可操作的安全情报。

2. Wazuh可视化架构解析

Wazuh可视化系统采用典型的"数据-存储-展示"三层架构，其核心组件包括：

flowchart TD
    A[Endpoint Agents] -->|日志/事件| B[Wazuh Manager]
    B --> C[Alert Forwarder]
    C -->|JSON/HTTPS| D[Elasticsearch]
    D --> E[Wazuh Dashboard]
    E --> F[安全大屏]
    F -->|API| G[配置管理]
    G --> B
    style F fill:#f9f,stroke:#333,stroke-width:2px

2.1 数据采集层

• Wazuh Agent：部署在端点的轻量级探针，采集系统日志、文件变化、进程活动等安全数据
• 日志收集器：通过ossec.conf配置文件定义采集规则，支持多种日志格式（syslog、JSON、自定义格式）
• 安全模块：包括FIM（文件完整性监控）、Rootcheck（恶意软件检测）、SCA（合规性扫描）等专用模块

2.2 数据处理与存储层

• Alert Forwarder：负责将Wazuh Manager生成的告警转发至Elasticsearch，配置文件位于/var/ossec/etc/alert_forwarder.conf
• Elasticsearch：分布式搜索引擎，存储所有安全事件和指标数据，默认索引名为wazuh-alerts
• 数据标准化：所有事件统一转换为JSON格式，包含一致的字段（agent_id、timestamp、rule_id、severity等）

2.3 可视化展示层

• Wazuh Dashboard：基于Web的用户界面，提供预置仪表盘和自定义功能
• 可视化组件：包括时间序列图表、拓扑图、热力图、统计卡片等多种展示形式
• 交互功能：支持下钻分析、时间范围筛选、告警聚合等操作

3. 环境部署与配置

3.1 系统架构要求

组件	最低配置	推荐配置
Wazuh Manager	4核CPU/8GB RAM/100GB SSD	8核CPU/16GB RAM/500GB SSD
Elasticsearch	4核CPU/16GB RAM/200GB SSD	8核CPU/32GB RAM/1TB SSD
Dashboard	2核CPU/4GB RAM/50GB SSD	4核CPU/8GB RAM/100GB SSD

3.2 部署步骤

3.2.1 安装Wazuh Manager

# 克隆仓库
git clone https://gitcode.com/GitHub_Trending/wa/wazuh
cd wazuh

# 执行安装脚本
sudo ./install.sh

3.2.2 配置告警转发

编辑告警转发器配置文件/var/ossec/etc/alert_forwarder.conf：

# 告警文件路径
ALERTS_FILE=/var/ossec/logs/alerts/alerts.json
# Elasticsearch地址
INDEXER_IP=127.0.0.1
# 目标索引名称
INDEX_NAME=wazuh-alerts
# 证书配置
CERT_FILE=/etc/wazuh-indexer/certs/admin.pem
KEY_FILE=/etc/wazuh-indexer/certs/admin-key.pem
CA_CERT=/etc/wazuh-indexer/certs/root-ca.pem

3.2.3 配置Elasticsearch连接

在Wazuh主配置文件/var/ossec/etc/ossec.conf中确保远程连接配置正确：

<remote>
  <connection>secure</connection>
  <port>1514</port>
  <protocol>tcp</protocol>
</remote>

3.2.4 启动服务

# 启动Wazuh Manager
sudo systemctl start wazuh-manager

# 启动告警转发器
sudo /var/ossec/bin/wazuh-control start alert-forwarder

4. 安全大屏核心组件详解

Wazuh大屏由多个功能模块组成，每个模块针对特定安全场景设计，共同构建完整的安全态势视图。

4.1 安全态势总览面板

总览面板提供企业整体安全状态的即时视图，包含关键安全指标（KSI）：

pie
    title 告警严重级别分布
    "严重" : 12
    "高等级" : 45
    "中等级" : 120
    "低等级" : 320
    "信息" : 850

核心指标包括：

• 活跃代理数量及在线状态
• 近24小时告警趋势
• 按严重级别分布的告警统计
• 受影响资产Top 5
• 攻击类型分布

4.2 实时威胁监控面板

实时监控面板专注于即时威胁检测，每5秒刷新一次数据：

timeline
    title 近1小时重大安全事件
    10:05 : 检测到可疑进程（PID: 12345）
    10:12 : 敏感文件被修改（/etc/passwd）
    10:28 : 多次失败的SSH登录尝试（来源IP: 192.168.1.100）
    10:45 : 检测到恶意软件签名（MD5: a1b2c3d4e5f6）
    11:02 : 出站连接至已知C&C服务器

主要功能：

• 实时告警流展示（按严重级别着色）
• 异常行为识别（基于基线偏离）
• 地理IP定位（攻击源分布地图）
• 进程树可视化（识别可疑进程关系）

4.3 合规性监控面板

合规性面板帮助组织满足PCI DSS、HIPAA等监管要求：

合规要求	符合项	不符合项	合规率
PCI DSS 1.2	15	3	83.3%
HIPAA §164.312	8	1	88.9%
GDPR Article 32	12	2	85.7%
NIST SP 800-53	42	8	84.0%

监控内容：

• 配置基线检查结果
• 漏洞处理状态跟踪
• 访问控制合规性
• 加密状态验证

4.4 资产与漏洞管理面板

资产面板提供全面的IT资产可视化和漏洞跟踪：

classDiagram
    class 资产 {
        +ID: string
        +名称: string
        +IP地址: string
        +操作系统: string
        +风险评分: float
        +漏洞数量: int
    }
    class 漏洞 {
        +CVE编号: string
        +严重级别: string
        +发布日期: date
        +处理日期: date
        +CVSS评分: float
    }
    资产 "1" -- "*" 漏洞 : 包含

关键功能：

• 资产分类树（按部门/位置/类型）
• 漏洞生命周期管理
• 风险评分计算（基于CVSS和资产价值）
• 处理优先级建议

5. 大屏配置与自定义

5.1 基础配置

Wazuh大屏的基础配置通过ossec.conf文件实现：

<ossec_config>
  <!-- 配置日志收集 -->
  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/auth.log</location>
  </localfile>
  
  <!-- 配置FIM监控 -->
  <syscheck>
    <directories>/etc,/usr/bin,/usr/sbin</directories>
    <frequency>43200</frequency> <!-- 每12小时扫描一次 -->
    <alert_new_files>yes</alert_new_files>
  </syscheck>
  
  <!-- 配置告警转发至Elasticsearch -->
  <global>
    <alerts_log>yes</alerts_log>
    <alerts_json>yes</alerts_json>
  </global>
</ossec_config>

5.2 自定义仪表盘

通过Wazuh API可以创建自定义仪表盘，以下是使用Python SDK创建自定义面板的示例：

import requests
import json

# API配置
WAZUH_API_URL = "https://localhost:55000"
AUTH_TOKEN = "your_auth_token"
HEADERS = {
    "Authorization": f"Bearer {AUTH_TOKEN}",
    "Content-Type": "application/json"
}

# 创建自定义可视化
payload = {
    "title": "自定义Web攻击监控",
    "type": "line",
    "index_pattern": "wazuh-alerts-*",
    "metrics": [
        {
            "field": "rule.description",
            "aggregation": "count",
            "label": "攻击次数"
        }
    ],
    "split_by": "rule.id",
    "time_range": "24h"
}

response = requests.post(
    f"{WAZUH_API_URL}/api/v2/visualizations",
    headers=HEADERS,
    json=payload,
    verify=False  # 生产环境中应启用证书验证
)

if response.status_code == 201:
    print("自定义可视化创建成功")
    print("可视化ID:", response.json()["data"]["id"])
else:
    print("创建失败:", response.text)

5.3 告警规则配置

通过自定义规则可以优化大屏展示的告警质量：

<!-- /var/ossec/rules/local_rules.xml -->
<group name="web,attack,">
  <rule id="100001" level="10">
    <if_sid>31152</if_sid> <!-- 继承基础Web攻击规则 -->
    <id>^403$</id> <!-- HTTP 403状态码 -->
    <url>^/admin/</url> <!-- 访问管理后台 -->
    <description>检测到对管理后台的未授权访问尝试</description>
    <group>web_attack,pci_dss_6.5,</group>
  </rule>
</group>

6. 高级应用场景

6.1 威胁狩猎大屏

威胁狩猎大屏专为安全分析师设计，支持深度威胁挖掘：

mindmap
  root(威胁狩猎)
    异常行为
      网络流量异常
      进程行为异常
      文件系统变化
    威胁指标
      IOC匹配
      攻击模式识别
      恶意代码特征
    狩猎结果
      确认威胁
      虚假阳性
      需要进一步调查

主要功能：

• 多维度数据关联分析
• 自定义查询构建器
• 威胁情报集成（MITRE ATT&CK框架）
• 狩猎剧本管理

6.2 供应链攻击监控

针对供应链攻击的专用监控大屏：

flowchart LR
    A[代码仓库] -->|依赖扫描| B[漏洞检测]
    B --> C{存在高等级漏洞?}
    C -->|是| D[触发告警]
    C -->|否| E[继续监控]
    D --> F[隔离受影响组件]
    F --> G[启动事件响应]

监控重点：

• 第三方组件漏洞（npm, PyPI, Maven等）
• 代码签名验证
• CI/CD管道完整性
• 依赖链变更检测

7. 性能优化与最佳实践

7.1 大屏性能优化

随着数据量增长，大屏可能出现加载缓慢问题，优化建议：

1. 数据采样：对历史数据采用降采样策略（如5分钟聚合）
2. 索引优化：为常用查询字段创建Elasticsearch索引

   {
     "mappings": {
       "properties": {
         "agent.id": { "type": "keyword" },
         "rule.severity": { "type": "integer" },
         "timestamp": { "type": "date" }
       }
     }
   }
   

3. 查询优化：限制返回结果数量，使用过滤器而非通配符查询
4. 资源分配：为Elasticsearch分配足够的堆内存（不超过物理内存的50%）

7.2 最佳实践

1. 数据保留策略：根据合规要求设置数据保留期，建议：

   • 原始日志：30天
   • 告警数据：1年
   • 聚合指标：5年

2. 访问控制：实施基于角色的访问控制（RBAC）：

   <security>
     <role name="viewer">
       <resource name="/api/v2/visualizations/*" permissions="read"/>
       <resource name="/api/v2/alerts/*" permissions="read"/>
     </role>
     <user name="security-analyst" roles="viewer,analyst"/>
   </security>
   

3. 大屏布局设计：遵循视觉层次原则：

   • 顶部：最重要的KPI和实时告警
   • 中部：详细分析图表
   • 底部：辅助信息和趋势数据

8. 总结与未来展望

Wazuh安全监控大屏通过直观的数据可视化，将复杂的安全数据转化为可操作的安全情报，有效解决了传统安全监控中的"数据过载"和"可见性不足"问题。从实时威胁监控到合规性管理，从资产漏洞跟踪到高级威胁狩猎，Wazuh大屏为不同角色的安全人员提供了量身定制的视图。

未来发展方向：

• AI增强可视化：基于机器学习的异常检测和预测分析
• 沉浸式体验：VR/AR安全指挥中心
• 零信任架构集成：实时信任分数可视化
• 自动化响应集成：从可视化到自动补救的闭环

通过合理配置和持续优化，Wazuh大屏可以成为组织安全战略的核心组成部分，将安全从被动防御转变为主动态势感知。

收藏本文，获取Wazuh大屏配置完整指南。关注我们，下期将分享《Wazuh与SIEM系统集成实战》。