使用 Wazuh + 开源工具构建轻量级 SOC：实战指南（2026年版）

为什么大多数安全项目还没开始就已经失败

"我们需要一个SOC。"每个刚刚遭遇安全事件、未能通过合规审计或刚刚任命了第一位CISO的组织，都会说出这句话。随之而来的是商业SIEM厂商的演示、数百万元的报价，以及长达12个月的部署计划。

大多数团队走出那间会议室，然后什么都没做。

讽刺的是，一个真正可用的安全运营中心——能够检测真实威胁、对可疑行为发出告警、处理安全事件、并满足等保2.0和数据安全法大部分合规要求——完全可以用开源工具构建，每月只需几台云服务器的费用。代价是时间和专业知识，而不是预算。

本指南将带你完成以 Wazuh 为核心的轻量级 SOC 架构搭建，介绍需要添加的辅助工具及其原因，讲解如何编写真正有效的检测规则，以及如何让小型安全团队在不精疲力竭的情况下持续运营。

等保2.0与数据安全法：中国企业为何必须重视SOC

在深入技术细节之前，有必要先说清楚：SOC对于在中国运营的企业来说，已经不只是可选项。

网络安全等级保护制度2.0（等保2.0） 于2019年正式实施，是中国最重要的网络安全监管框架。等保2.0的技术要求中，与SOC直接相关的核心控制项包括：

安全审计（第三级及以上必须）： 对网络行为、用户操作和安全事件进行全面审计，审计记录须留存不少于六个月
入侵防范： 检测、防止或限制从外部发起的网络攻击行为，以及从内部发起的未授权访问
安全监测： 对网络流量、用户行为和系统状态进行持续监控，及时发现异常
应急响应： 建立安全事件响应流程，保留事件处置的完整记录

《数据安全法》（2021年） 和 《个人信息保护法》（PIPL，2021年） 进一步强化了数据泄露的法律责任。PIPL要求在发现个人信息安全事件后"立即"采取补救措施，并在规定时限内向主管部门报告。

本指南构建的SOC将生成等保2.0审计所需的技术证据，提供足够快的检测能力以支持合规报告，并建立可供检查机构审查的安全运营文档体系。

轻量级SOC需要实现的目标

在选择任何工具之前，先定义最低可行能力集。轻量级SOC需要覆盖四件事：

可见性（Visibility）： 了解端点、网络和云工作负载上正在发生什么。来自各处的日志，统一规范化为可搜索、可查询的格式。

检测（Detection）： 识别出问题正在发生的事件信号——未授权访问、横向移动、恶意软件执行、数据外泄、错误配置。

告警与研判（Alerting & Triage）： 将正确的告警连同足够的上下文信息，推送给正确的人，支持快速决策。不是噪音的洪流，也不是一片沉默。

响应（Response）： 采取行动。封锁IP。隔离主机。开立工单。记录发生了什么。

本指南的工具栈

层级	工具	职责
SIEM / XDR	Wazuh	日志采集、基于规则的检测、FIM、漏洞扫描、主动响应
网络IDS	Suricata	网络层威胁检测、协议分析
威胁情报	MISP	IOC管理、威胁情报共享
事件响应	DFIR-IRIS	工单管理、调查追踪、分析师工作流
自动化（可选）	Shuffle	轻量SOAR、基于Webhook的剧本

组件一：Wazuh — 一切的核心

Wazuh 是本架构的骨干。它同时充当 SIEM、XDR、基于主机的入侵检测系统（HIDS）、文件完整性监控（FIM）、漏洞扫描器和主动响应引擎。免费且开源，是资源有限的SOC的首选核心平台。

架构总览

flowchart TD
    subgraph 端点
        A1["Windows Agent"]
        A2["Linux Agent"]
        A3["macOS Agent"]
    end

    subgraph 网络
        SUR["Suricata (IDS)\n网络流量分析"]
        FW["防火墙 / VPN\nSyslog转发"]
    end

    subgraph Wazuh核心
        MGR["Wazuh Manager\n规则引擎 · 解码器流水线 · 主动响应"]
        IDX["Wazuh Indexer\n(OpenSearch)"]
        DASH["Wazuh Dashboard\n告警 · FIM · 漏洞 · 合规 · 等保"]
    end

    subgraph 情报增强与响应
        MISP["MISP\n威胁情报 · IOC订阅源"]
        IRIS["DFIR-IRIS\n工单管理 · 调查"]
        SHF["Shuffle（可选）\nSOAR剧本 · 自动研判"]
    end

    A1 -->|"加密日志流"| MGR
    A2 -->|"加密日志流"| MGR
    A3 -->|"加密日志流"| MGR
    SUR -->|"EVE JSON via syslog"| MGR
    FW -->|"Syslog (UDP/TCP 514)"| MGR

    MGR -->|"已索引告警"| IDX
    IDX --> DASH

    MGR -->|"IOC查询"| MISP
    MGR -->|"告警Webhook"| SHF
    SHF -->|"创建工单"| IRIS
    MGR -->|"直接集成"| IRIS

Wazuh 开箱即用提供的能力

部署 Wazuh 并连接第一个 Agent 后，你将立即获得：

日志采集与规范化： 支持 Windows 事件日志、Linux syslog、macOS 统一日志及数十种应用日志格式
MITRE ATT&CK 映射： Wazuh 默认规则集将数千个事件映射至 ATT&CK 战术和技术，告警直接以威胁分析师和审计方通用的语言呈现
文件完整性监控（FIM）： 对受监控路径的文件、目录、权限和所有者变更进行实时告警
安全配置评估（SCA）： 自动扫描端点的CIS基准合规性，通过/未通过结果在仪表板中呈现
漏洞检测： Agent 采集的软件清单与持续更新的CVE数据库进行比对
主动响应： 规则触发时可配置自动化操作，包括通过 firewalld 或 iptables 封锁IP、终止进程或执行自定义脚本

部署 Wazuh

在专用的 Ubuntu 22.04 服务器上运行一键安装脚本，是最快的部署路径。

小规模部署的最低配置（约50个Agent以内）：

4 vCPU、8 GB RAM、100 GB SSD
Ubuntu 22.04 LTS
开放端口：1514/UDP（Agent通信）、1515/TCP（Agent注册）、443/TCP（仪表板）

# 下载并运行 Wazuh 安装助手
curl -sO https://packages.wazuh.com/4.x/wazuh-install.sh
bash wazuh-install.sh -a

这一条命令在同一台主机上安装 Wazuh Manager、Indexer（OpenSearch）和 Dashboard。对于超过50个Agent的生产环境，建议将这三个组件部署到不同服务器上。

安装完成后获取管理员密码：

tar -O -xvf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt

然后访问 https://服务器IP地址，使用 admin 和获取到的密码登录。

注册 Agent

Linux：

curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --dearmor \
  -o /usr/share/keyrings/wazuh.gpg
echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] \
  https://packages.wazuh.com/4.x/apt/ stable main" \
  | tee /etc/apt/sources.list.d/wazuh.list
apt update && apt install -y wazuh-agent
WAZUH_MANAGER="Manager的IP地址" WAZUH_AGENT_NAME="web-01" \
  dpkg-reconfigure wazuh-agent
systemctl enable --now wazuh-agent

Windows（PowerShell）：

Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.x.x-1.msi `
  -OutFile wazuh-agent.msi
msiexec /i wazuh-agent.msi /q `
  WAZUH_MANAGER="Manager的IP地址" `
  WAZUH_AGENT_NAME="workstation-01"
NET START WazuhSvc

组件二：编写真正有效的检测规则

Wazuh 的默认规则集是一个很好的起点，但在实际操作中，你需要编写自定义规则来检测对你的环境真正重要的特定威胁，并抑制无关的噪音。

Wazuh 规则的工作机制

Wazuh 将每条日志事件首先通过解码器流水线处理（从原始日志文本中提取结构化字段），然后将解码后的事件与规则树进行匹配。自定义规则存放在 /var/ossec/etc/rules/local_rules.xml。

规则严重程度从0到15。1〜3为信息级，4〜6为低级，7〜11为中级，12〜15为高/严重级。默认配置下只有7级及以上才会生成告警。

示例一：检测 SSH 暴力破解

当同一源IP在60秒内产生超过5次SSH认证失败时触发的规则：

<!-- /var/ossec/etc/rules/local_rules.xml -->
<group name="sshd,authentication_failed,">

  <rule id="100001" level="10" frequency="5" timeframe="60">
    <if_matched_sid>5716</if_matched_sid>
    <same_source_ip />
    <description>SSH暴力破解：60秒内超过5次失败，来源IP: $(srcip)</description>
    <mitre>
      <id>T1110.001</id>
    </mitre>
    <group>attack,brute_force,</group>
  </rule>

</group>

示例二：检测可疑的 PowerShell 执行

当 PowerShell 调用包含常见混淆模式（Base64编码命令、下载器、执行策略绕过）时触发：

<rule id="100010" level="12">
  <if_group>windows,sysmon,</if_group>
  <field name="win.eventdata.commandLine" \
    type="pcre2">(?i)(FromBase64String|EncodedCommand|DownloadString|DownloadFile|bypass|hidden|WebClient)</field>
  <description>可疑PowerShell执行：检测到混淆或下载器特征</description>
  <mitre>
    <id>T1059.001</id>
  </mitre>
  <group>attack,execution,powershell,</group>
</rule>

注意： 该规则需要在 Windows 端点安装 Sysmon，并在 Wazuh Manager 中加载 Wazuh Sysmon 规则集。建议使用 SwiftOnSecurity 配置安装 Sysmon 以获得最大覆盖范围。

示例三：使用 CDB 列表匹配 IOC

Wazuh 支持常量数据库（CDB）列表——可在规则中引用的快速查找键值存储。此模式可将日志事件与已知恶意IP、域名或哈希列表进行比对：

# 创建/更新 IOC 列表
echo "185.220.101.45:" >> /var/ossec/etc/lists/malicious-ips
echo "194.165.16.11:" >> /var/ossec/etc/lists/malicious-ips

<rule id="100020" level="13">
  <if_group>firewall,</if_group>
  <list field="srcip" lookup="match_key">etc/lists/malicious-ips</list>
  <description>来自已知恶意IP的连接：$(srcip)</description>
  <mitre>
    <id>T1071</id>
  </mitre>
  <group>attack,threat_intel,</group>
</rule>

规则调优：抑制误报

每个新的 Wazuh 部署在第一周都会产生大量告警，其中大多数是误报。使用 <overwrite> 规则降低严重程度，或使用基于 <list> 的白名单进行抑制：

<!-- 抑制来自已知监控账户的失败登录告警 -->
<rule id="100030" level="0" overwrite="yes">
  <if_sid>5716</if_sid>
  <user>monitoring-svc</user>
  <description>抑制：来自监控服务账户的预期失败登录</description>
</rule>

重要原则：永远不要抑制整个规则类别。只抑制经过充分理解的具体条件。记录每条抑制规则及其业务理由，每季度审查一次。这对于等保2.0审计留存来说尤为重要。

组件三：使用 Suricata 实现网络可见性

Wazuh Agent 提供出色的端点可见性。但横向移动、C2（命令与控制）流量和数据外泄，往往在网络层留下端点日志中不会出现的痕迹。Suricata 填补了这一空白。

Suricata 是一款高性能网络IDS/IPS，使用兼容 Snort 规则的签名检测引擎、协议分析器和文件提取引擎对流量进行实时检测。它以 EVE JSON 格式输出日志，Wazuh 可以原生采集。

安装 Suricata

# Ubuntu 22.04
add-apt-repository ppa:oisf/suricata-stable -y
apt update && apt install -y suricata

# 下载最新的 Emerging Threats 规则集
suricata-update

配置 Suricata 向 Wazuh 输送数据

编辑 /etc/suricata/suricata.yaml，设置监控网卡并启用 EVE JSON 输出：

af-packet:
  - interface: eth0

outputs:
  - eve-log:
      enabled: yes
      filetype: regular
      filename: /var/log/suricata/eve.json
      types:
        - alert
        - http
        - dns
        - tls
        - flow

然后在 Wazuh Manager 的 ossec.conf 中配置采集 EVE 日志：

<localfile>
  <log_format>json</log_format>
  <location>/var/log/suricata/eve.json</location>
</localfile>

Wazuh 内置了针对 Suricata EVE JSON 的解码器和规则，采集后仪表板中会立即出现带有 MITRE ATT&CK 映射的告警。

组件四：使用 MISP 实现威胁情报

能够匹配已知恶意IP或域名的检测规则，比通用的"异常连接"告警有用得多。MISP（恶意软件信息共享平台）是管理和共享威胁情报的开源标准，涵盖IOC、威胁行为者画像、恶意软件样本和事件信息。

在轻量级SOC中，MISP承担两项职责：一是安全分析师整理IOC的数据库，二是为Wazuh实时匹配提供CDB列表更新的订阅源。

启动 MISP

git clone https://github.com/MISP/misp-docker
cd misp-docker
cp template.env .env
# 编辑 .env：设置 MISP_BASEURL、管理员邮箱和密码
docker compose up -d

接入免费 IOC 订阅源

在设置 → 订阅源中建议启用的免费源：

CIRCL OSINT Feed： 卢森堡国家CERT提供的通用IOC
Abuse.ch URLhaus： 仍活跃的恶意软件分发URL
Abuse.ch Feodo Tracker： 僵尸网络C2 IP（Emotet、TrickBot、Qakbot）
AlienVault OTX： 社区贡献IOC（需免费API密钥）
CNCERT/CC公开情报： 对于在中国运营的企业，建议同时关注国家互联网应急中心（CNCERT/CC）发布的安全公告和威胁情报，并将相关IOC手动或通过API导入MISP

自动化 IOC → Wazuh CDB 同步

#!/usr/bin/env python3
# misp_to_cdb.py — 通过 cron 每30分钟执行一次
import requests, json, os

MISP_URL = "https://your-misp-instance"
MISP_KEY = "YOUR_API_KEY"
CDB_PATH = "/var/ossec/etc/lists/malicious-ips"

headers = {"Authorization": MISP_KEY, "Accept": "application/json",
           "Content-Type": "application/json"}

payload = {"returnFormat": "json", "type": "ip-dst",
           "tags": ["tlp:white", "tlp:green"], "limit": 5000}

r = requests.post(f"{MISP_URL}/attributes/restSearch",
                  headers=headers, json=payload, verify=False)
attrs = r.json().get("response", {}).get("Attribute", [])

with open(CDB_PATH, "w") as f:
    for attr in attrs:
        f.write(f"{attr['value']}:\n")

os.system("/var/ossec/bin/wazuh-logtest -U")  # 重载CDB列表
print(f"已将 {len(attrs)} 条IOC同步至 {CDB_PATH}")

组件五：使用 DFIR-IRIS 进行工单管理

Wazuh 生成告警，MISP 提供上下文，但这两个工具都无法回答："谁在调查这个问题，发现了什么，当前状态是什么？"这正是 DFIR-IRIS 的职责。

DFIR-IRIS 是一个开源的协同事件响应平台，提供包含时间线、证据追踪、资产台账、IOC关联、任务分配以及与MISP和Wazuh内置集成的工单管理系统。当Wazuh中的告警升级为安全事件时，在IRIS中开立工单，分析师在此推进调查。

从等保2.0审计的角度来看，IRIS自动生成完整的调查过程审计轨迹，这正是检查机构要求提供"安全事件处置记录"时所需要的证据材料。

启动 DFIR-IRIS

git clone https://github.com/dfir-iris/iris-web
cd iris-web
cp .env.model .env
# 编辑 .env：设置 IRIS_ADM_PASSWORD 和 IRIS_SECRET_KEY
docker compose up -d

访问地址：http://localhost:4433

将 Wazuh 告警关联至 IRIS 工单

#!/usr/bin/env python3
# iris_create_case.py — 由 Wazuh 主动响应在高严重度告警时调用
import sys, json, requests

IRIS_URL = "http://your-iris-instance:4433"
IRIS_API_KEY = "YOUR_IRIS_API_KEY"

alert = json.loads(sys.stdin.read())
rule_desc = alert.get("rule", {}).get("description", "未知")
agent_name = alert.get("agent", {}).get("name", "未知")
level = alert.get("rule", {}).get("level", 0)

if level < 12:
    sys.exit(0)  # 仅对高/严重级告警自动创建工单

payload = {
    "case_name": f"[AUTO] {rule_desc}",
    "case_description": json.dumps(alert, indent=2, ensure_ascii=False),
    "case_customer": 1,
    "case_soc_id": alert.get("id", ""),
    "custom_attributes": {}
}

r = requests.post(f"{IRIS_URL}/manage/cases/add",
                  headers={"Authorization": f"Bearer {IRIS_API_KEY}"},
                  json=payload)
print(r.json())

组件六：使用 Shuffle 实现轻量自动化

Shuffle 是一个开源SOAR平台，通过可视化工作流构建器，使用Webhook和API连接各安全工具。在轻量级SOC中，它充当粘合层——接收Wazuh告警Webhook，通过MISP进行情报增强，创建IRIS工单，并通过企业微信、钉钉或邮件通知分析师。

面向中国团队的提示： Shuffle支持向任意Webhook端点发送通知，包括企业微信机器人和钉钉Webhook。将高危安全事件通过安全团队的企业微信群推送告警，是在中国办公环境中实际可行的方案。

部署 Shuffle

git clone https://github.com/Shuffle/Shuffle
cd Shuffle
docker compose up -d

访问地址：http://localhost:3001

基础研判工作流

flowchart LR
    W["Wazuh\n高严重度告警\n(level ≥ 12)"] -->|"Webhook POST"| SHF

    subgraph Shuffle工作流
        SHF["触发器\n解析告警JSON"] --> ENR["情报增强\n在MISP API中查询srcip"]
        ENR --> DEC{"命中\nIOC?"}
        DEC -->|"是"| HIGH["设置严重度 = 严重\n附加MISP上下文"]
        DEC -->|"否"| MED["保持严重度 = 高"]
        HIGH --> CASE["IRIS\n创建含完整上下文的工单"]
        MED --> CASE
        CASE --> NOTIFY["通知分析师\n企业微信 / 钉钉 / 邮件"]
    end

在 Wazuh Manager 的 ossec.conf 中添加以下配置以连接 Shuffle：

<integration>
  <n>shuffle</n>
  <hook_url>http://your-shuffle-instance:3001/api/v1/hooks/YOUR_HOOK_ID</hook_url>
  <level>12</level>
  <alert_format>json</alert_format>
</integration>

SOC的日常运营

让工具运行起来是容易的部分。有效运营SOC需要的是流程，而不仅仅是基础设施。

告警研判SLA

在开始之前定义响应时间目标。一个简单的三级模型：

严重级别	Wazuh级别	目标响应时间	示例
严重	15	15分钟	勒索软件IOC命中、活跃数据外泄
高	12〜14	2小时	暴力破解成功、权限提升
中	7〜11	24小时	重复登录失败、可疑进程
低	4〜6	每周审查	策略违规、信息类事件

分析师日常工作流程

早间研判（30分钟）： 在Wazuh仪表板中检查前一晚的高/严重级告警。对每条告警：是真阳性还是误报？真阳性在IRIS中开立工单；误报添加有文档记录的抑制规则。
IOC巡查（15分钟）： 检查MISP中夜间同步的新订阅源。审查Wazuh中的新IOC命中。必要时更新CDB列表。
开放工单审查（20分钟）： 审查IRIS中的活跃工单。更新调查笔记，分配任务，升级或关闭工单。
规则维护（随时）： 在研判中识别到误报后，立即编写抑制规则。不要让噪音积累。