WazuhとAIの統合による高度な脅威検出

サイバー脅威は急速に進化しており、SIEM（Security Information and Event Management） ソリューションであるWazuhは、ゼロデイ攻撃、高度持続的脅威（APT）、内部脅威などの検出に課題を抱えています。DeepSeek-R1、BERT、AutoencodersなどのAIモデルを活用することで、Wazuhの脅威検出能力を機械学習（ML）と自然言語処理（NLP）によって向上させることができます。

本記事では、WazuhにAIベースの脅威検出を統合し、リアルタイムでログを分析する方法を紹介します。

なぜWazuhにAIを統合するのか？

Wazuhはログ収集、ルールベースの検出、コンプライアンス管理に優れていますが、以下のような課題があります。
✅ ルールベースの検出は、新しい攻撃手法を見逃す可能性がある
✅ 誤検知（False Positive）が多発し、セキュリティチームの負担が増加する
✅ 手作業による脅威分析は時間がかかり、非効率的

🔹 AIを活用することで、ログ分析を自動化し、異常検出を強化し、誤検知を削減できます。

アーキテクチャ: AI + Wazuh ワークフロー

このワークフローでは、WazuhのイベントログシステムとAIによる脅威検出エンジンを統合し、ログを正常または悪意のあるものとして分類します。

flowchart TD
    A["Wazuhログ"] -->|"ログ取得"| B["AI処理"]
    B -->|脅威分類| C{"脅威を検出？"}
    C -->|はい| D[AIアラートをWazuhに送信]
    C -->|いいえ| E[正常ログとして保存]
    D --> F[セキュリティチームへ通知]
    E --> G[ログエントリをデータベースに保存]

ステップ1: Wazuhログの取得

WazuhはAPIを提供しており、セキュリティログを取得できます。Pythonを使用してこれらのログを取得しましょう。

import requests

API_URL = "https://wazuh-server:55000/agents/000/logs"
HEADERS = {"Authorization": "Bearer YOUR_API_KEY"}

response = requests.get(API_URL, headers=HEADERS, verify=False)
logs = response.json()

log_texts = [log["message"] for log in logs["data"]]
print(log_texts)

🔹 リアルタイムでWazuhのログを取得し、AIで分析できるようになりました。

ステップ2: AIによるログ分類

事前学習済みのAIモデルを使用して、ログが正常か脅威かを分類します。

from transformers import pipeline

model = pipeline("text-classification", model="deepseek-ai/deepseek-r1")

log_entry = "User admin failed login from suspicious IP 192.168.1.100"
result = model(log_entry)

print(result)  # Output: ['malicious'（悪意あり）または 'benign'（正常）]

🔹 ユースケース: ブルートフォース攻撃、フィッシング、マルウェアの検出。

ステップ3: 異常検出の実装

Isolation Forestモデルを使用して、既知のルールに当てはまらない異常なパターンを検出します。

from sklearn.ensemble import IsolationForest
import numpy as np

log_data = np.random.rand(1000, 10)  # サンプルログデータ
model = IsolationForest(contamination=0.05)
model.fit(log_data)

anomalies = model.predict(log_data[-10:])
print(anomalies)  # -1 = 異常、1 = 正常

🔹 ユースケース: ゼロデイ攻撃、内部脅威、不審なネットワークアクティビティの検出。

ステップ4: WazuhへAIアラートを送信

AIが脅威を検出した場合、それをWazuhに送信し、セキュリティアラートを作成します。

alert = {
    "rule": {"description": "AIが異常を検出", "id": 9999},
    "location": "AI Model",
    "full_log": "ログに不審なアクティビティを検出しました"
}

response = requests.post("https://wazuh-server:55000/alerts", headers=HEADERS, json=alert, verify=False)
print(response.status_code)  # 200 = 成功

🔹 AIが検出した脅威が、Wazuhの管理画面に表示されるようになります。

ステップ5: AI分析の自動化

オプション1: Cronジョブを使用して定期的にAIログ分析を実行

5分ごとに分析を実行する場合:

crontab -e

追加:

*/5 * * * * python3 /home/user/ai_threat_detection.py

オプション2: FastAPIを使用してリアルタイムAI分析APIを提供

FastAPIを使用し、Wazuhからリアルタイムでログを受信してAIで分析するAPIを構築できます。

from fastapi import FastAPI, Request
from transformers import pipeline

app = FastAPI()
model = pipeline("text-classification", model="deepseek-ai/deepseek-r1")

@app.post("/analyze_log/")
async def analyze_log(request: Request):
    data = await request.json()
    log_entry = data["log"]
    result = model(log_entry)
    return {"verdict": result[0]["label"]}

🔹 WazuhはこのAPIにログを送信し、リアルタイムで脅威分析が可能になります。