13 KiB
IwoooS SOC / SIEM / Kali 112 / Wazuh 整合控制矩陣
| 項目 | 內容 |
|---|---|
| 日期 | 2026-06-25 |
| 狀態 | soc_siem_kali_wazuh_integration_control_ready_no_runtime_action |
| 工具 | scripts/security/soc-siem-kali-wazuh-integration-control.py |
| Snapshot | docs/security/soc-siem-kali-wazuh-integration-control.snapshot.json |
| 主流 AISOC 路線圖 | docs/security/MAINSTREAM-AISOC-SECURITY-CONTROL-ROADMAP.md |
| runtime gate | 0 |
1. 目的
此矩陣把「整體資安監控、告警、Kali 112 與業界主流機制」整合成 IwoooS 可驗收的 SOC 控制面。它不是再多一張靜態規劃表,而是把 Wazuh、Kali 112、Prometheus / Alertmanager、SigNoz、Sentry、Nginx / gateway、host forensic、Docker / systemd、K8s / ArgoCD、Gitea / runner、Harbor / SBOM、backup / DR 都拉進同一條事件鏈。
本階段仍是 repo / snapshot / guard / 前台可視化控制,不是 runtime 授權。它不呼叫 Wazuh API、不呼叫 Kali、不 SSH、不讀 live log、不送 Telegram、不 reload Prometheus / Alertmanager、不建立 SOAR case、不啟用 Wazuh active response、不跑 active scan、不改 firewall / Nginx / K8s / workflow / secret。
2. 導入的主流框架
| 框架 | 導入方式 |
|---|---|
| NIST CSF 2.0 | 以 Govern、Identify、Protect、Detect、Respond、Recover 當 IwoooS SOC 主流程骨架 |
| NIST SP 800-61 Rev. 3 | 將 incident response 建議轉成 case gate、postcheck 與 lesson learned 回寫 |
| CIS Controls v8.1 | 導入資產盤點、漏洞管理、稽核日誌、惡意程式防護、復原與權限審查 |
| CISA Zero Trust Maturity Model | 補 identity、device、network、application、data、visibility 與 automation 成熟度 |
| CISA KEV | 已知遭利用漏洞作為套件 / image / public service 修補優先序 |
| MITRE ATT&CK / D3FEND | 用攻擊技術、資料源、防禦 countermeasure 與 coverage gap 校準偵測工程 |
| OWASP ASVS / SAMM | 前後台、API、auth、access-control、secure SDLC 與 logging 驗證,不落 secret |
| Wazuh XDR / SIEM | endpoint、FIM、rule、decoder、alert 與 active response dry-run 邊界 |
| Wazuh Active Response | 只採能力模型與 dry-run / rollback gate;目前不啟用 response |
| Prometheus Alertmanager | 導入 grouping、dedup、routing、silence、inhibit 與 receipt 驗收 |
| OpenTelemetry | 以 traces、metrics、logs、resource 與 semantic conventions 關聯 incident evidence |
| SLSA / Sigstore / SBOM | 將 provenance、artifact signing、SBOM 與驗章納入供應鏈 lane |
| Suricata / Zeek NDR | 先預留被動網路偵測 lane,IPS / inline blocking 需獨立批准 |
| Kali tooling | Kali 112 作為只讀健康、工具版本、scope 與 finding normalization 節點 |
3. 控制域
| 控制域 | 第一階段要求 |
|---|---|
| 資產與 owner | 所有 host、service、repo、domain、gateway、runner、backup asset 都要有 alias 與 owner mapping |
| Endpoint / host log | auth、process、network、package、systemd、Docker 訊號要能指到 redacted evidence ref |
| FIM / persistence | 以 Wazuh FIM、process tree、systemd、cron、authorized_keys、port binding 做持久化判讀 |
| Vulnerability / KEV | CVE、KEV、套件、image、SBOM 與 maintenance window 綁在一起 |
| NDR / IDS | Suricata / network detection 先做 passive telemetry lane,不直接變 IPS |
| Wazuh SIEM | 只接 health ref、agent status ref、event ref、rule / decoder readback,不接 raw payload |
| Kali 112 | 只接 health、tool version、scope、normalized finding envelope,不接 /execute |
| 告警路由 | Prometheus / Alertmanager / Telegram / no-false-green / noise budget 要一起驗證 |
| Incident / Case | finding 升級要有 owner、severity、confidence、dedupe、SLA 與 escalation |
| 鑑識保存 | chain of custody、retention、redaction、raw payload absence 必須可驗 |
| 配置漂移 | Nginx、firewall、K8s、runner、workflow、secret metadata、host config diff 皆納管 |
| 供應鏈 | Gitea、runner、workflow、deploy key、Harbor、SBOM、image 與 release evidence 串回 SIEM |
| IAM / secret | SSH、sudo、token、cookie、env、runner secret 只能收 metadata,不收 value |
| Web / API AppSec | auth decision、access deny、rate-limit、security headers、CORS、webhook 要有 logging 與 owner |
| Backup / DR | backup existence 不能當 restore proof;restore drill、offsite、escrow、rollback 才能驗收 |
| Reporting | dashboard、KPI、LOGBOOK、frontstage marker 必須保持 0 / false 邊界 |
4. 固定數字
| 指標 | 數值 |
|---|---|
| 主流框架 | 14 |
| 營運角色 | 9 |
| 事件生命週期階段 | 8 |
| 成熟度階段 | 7 |
| 驗證 Gate | 18 |
| 控制域 | 16 |
| C0 控制域 | 12 |
| C1 控制域 | 4 |
| 訊號源 | 12 |
| 控制候選 | 20 |
| C0 控制候選 | 12 |
| C1 控制候選 | 8 |
| P0 控制候選 | 12 |
| P1 控制候選 | 8 |
| owner 必填欄位 | 42 |
| reviewer checks | 36 |
| outcome lanes | 14 |
| blocked actions | 103 |
| owner response received / accepted | 0 / 0 |
| Wazuh event refs accepted | 0 |
| Kali scope / finding envelope accepted | 0 / 0 |
| active response / active scan / SOAR / auto block | 0 / 0 / 0 / 0 |
| runtime gate / action button | 0 / 0 |
5. 專業資安營運體制
本輪補強不是把工具名稱堆到頁面,而是補上業界 SOC / CSIRT / DevSecOps 需要的責任、流程與驗證口徑。所有角色都只代表審查責任,不代表 runtime action 授權。
| 類型 | 數量 | IwoooS 採用方式 |
|---|---|---|
| 營運角色 | 9 |
IwoooS control owner、SOC reviewer、incident commander、platform owner、service owner、evidence custodian、change manager、AI security reviewer、executive risk owner |
| 事件生命週期 | 8 |
準備治理、偵測正規化、分流排序、調查關聯、圍堵決策、清除復原、事後學習、持續改善 |
| 成熟度階段 | 7 |
L0 分散觀測到 L6 受治理低風險自動化;目前停在 L1 / L2 只讀證據與 owner packet |
| 驗證 Gate | 18 |
owner mapping、source-to-live diff、脫敏證據、secret absence、Wazuh registry、Kali scope、alert receipt、case id、rollback、maintenance window、postcheck、production smoke 等 |
這代表 IwoooS 後續對「主機疑似入侵、Wazuh agent 消失、Nginx 被改、端口被關、告警格式不專業、AI agent 過度執行」都必須先形成 case / evidence / owner / rollback / postcheck,再進入人審或 dry-run。沒有這些欄位時,前台可以顯示風險與下一步,但不能顯示成已修復、已授權或可執行。
6. 第一批 P0 優先順序
| 優先 | 候選 | 狀態 |
|---|---|---|
| P0-1 | 資產與 owner 對應表先完整 | waiting_soc_owner_packet |
| P0-2 | Wazuh agent / manager / indexer / dashboard health ref 收件 | waiting_soc_owner_packet |
| P0-3 | Host auth / process / network / FIM 訊號正規化 | waiting_soc_owner_packet |
| P0-4 | Kali 112 health / tool version / scope approval 串接 | waiting_soc_owner_packet |
| P0-5 | Kali finding 只接脫敏 envelope,不接 raw output | waiting_soc_owner_packet |
| P0-6 | Prometheus / Alertmanager / Telegram 告警鏈 no-false-green | waiting_soc_owner_packet |
| P0-7 | Sentry / SigNoz 與主機入侵線索關聯 | waiting_soc_owner_packet |
| P0-8 | Nginx / firewall / route / TLS / gateway drift 關聯到 SIEM | waiting_soc_owner_packet |
| P0-9 | Gitea / runner / workflow / secret metadata 供應鏈關聯 | waiting_soc_owner_packet |
| P0-10 | CISA KEV / CVE / package / image 風險排序 | waiting_soc_owner_packet |
| P0-11 | Incident case / owner response / escalation queue | waiting_soc_owner_packet |
| P0-12 | 鑑識證據、chain of custody、redaction 與保存期 | waiting_soc_owner_packet |
7. Runtime 升級順序
- Repo / snapshot / guard / frontstage marker 完成。
- Owner 補齊 Wazuh、Kali、host forensic、gateway diff、alert route、supply-chain、KEV / CVE、backup / DR 的脫敏 evidence refs。
- Reviewer 驗收 raw payload absence、secret absence、dedupe fingerprint、noise budget、rollback owner 與 postcheck owner。
- 只讀 ingestion 或 mirror 可在獨立批准後啟用。
- Active response、Kali active scan、credentialed scan、SOAR case create、firewall containment、IPS / blocking 另開維護窗口與 runtime approval。
8. 禁止動作
本階段明確阻擋 Wazuh live API 查詢、Wazuh active response、Wazuh agent / rule / decoder 變更、raw Wazuh payload 儲存、Kali /scan、Kali /execute、Nmap / Nuclei / Nikto / Trivy / Lynis live scan、Kali package update、Kali reboot、SSH / sudo、host log 讀取、Docker / systemd、Nginx、certbot、DNS、firewall、WireGuard、NodePort、NetworkPolicy、ArgoCD、kubectl、Helm、Prometheus reload、Alertmanager reload、Grafana / SigNoz / Sentry / Langfuse 設定、Telegram 實發、SOAR playbook、auto block、secret rotation、workflow / runner / deploy key / webhook / repo secret 變更、raw packet / raw log / 未脫敏截圖、database migration、production write、runtime gate、action button、force push、refs sync 與 GitHub primary switch。
9. 完成度
- SOC / SIEM / Kali / Wazuh 整合控制矩陣:
100% - 業界主流資安營運體制補強:
100%來源端 - 前台只讀可視化:待本輪驗證
- 高價值配置 monitoring / alerting / observability 只讀成熟度:
78% - security evidence tooling 只讀成熟度:
88% - Wazuh event refs accepted:
0% - Kali active scan /
/execute:0% - SOAR / active response / auto block:
0% - runtime gate / action button:
0%
下一步不是直接掃描或封鎖,而是收齊 owner packet:Wazuh event refs、Kali scope refs、host forensic refs、alert chain refs、gateway diff refs、supply-chain refs、KEV / CVE refs、incident case refs、rollback owner 與 postcheck。驗收前 IwoooS 不宣稱主機乾淨、不宣稱木馬已清除、不宣稱 SIEM 已完成閉環,也不提供任何執行按鈕。
10. 2026-06-18 主流 AISOC 補齊
已新增 docs/security/MAINSTREAM-AISOC-SECURITY-CONTROL-ROADMAP.md,把主流框架與 AISOC 解決方案拆成 IwoooS 可執行工作包。補齊範圍包含 NIST CSF、CIS Controls、CISA Zero Trust、CISA KEV、MITRE ATT&CK / D3FEND、OWASP ASVS / SAMM / SCVS、SLSA、Sigstore、NIST AI RMF、OWASP LLM Top 10、MITRE ATLAS、CSA AI Controls Matrix、OCSF、Sigma、MISP / OpenCTI、Wazuh、Suricata、Zeek、TheHive / Cortex,以及 Microsoft Sentinel / Security Copilot、Google SecOps / Agentic SOC、Cortex XSIAM、CrowdStrike Falcon Next-Gen SIEM / Charlotte AI、Splunk ES / SOAR、Elastic AI SOC Engine、IBM QRadar SOAR、SentinelOne Purple AI 的能力模型。
主流 AISOC 不是自動修復器。IwoooS 採用的順序是先建 AI-ready data foundation,再做 alert triage、investigation plan、threat hunting、case drafting、enrichment、playbook dry-run、human-in-the-loop response、continuous learning 與 governed autonomy。當前全部 response / containment / auto block / SOAR action / Wazuh active response / Kali active scan 仍為 0 / false。
補齊後第一優先順序如下:
- P0-A 資產 / 配置總清冊。
- P0-B Wazuh / Kali 112 / SIEM evidence envelope。
- P0-C Nginx / Gateway config-control。
- P0-D 端點入侵偵測與鑑識。
- P0-E 告警鏈 no-false-green。
- P0-F KEV / package / image / SBOM 關聯。
- P0-G Incident case gate。
- P0-H AI Agent 權限閘。
11. 2026-06-25 專業體制化補強
本輪把原本 7 個主流框架擴到 14 個,並新增 9 個營運角色、8 段事件生命週期、7 階成熟度與 18 個驗證 Gate。這些欄位已寫入 docs/security/soc-siem-kali-wazuh-integration-control.snapshot.json,並由 security-mirror-progress-guard.py 固定檢查。
新的完成度口徑:
- SOC / SIEM / Kali / Wazuh 整合控制矩陣:
100%來源端。 - 業界主流體制化補強:
100%來源端。 - IwoooS 資安體制完整度:
70% -> 76%來源端;owner evidence、Wazuh manager registry truth、Kali active scan、SOAR / active response 與 runtime gate 仍維持0%。 - 前台可視化:需完成 production desktop / mobile smoke 後才可宣告 production visible。
- runtime / host write / active response / active scan / auto block:全部維持
0 / false。
12. 2026-06-25 作戰系統上層整合
SOC / SIEM / Kali / Wazuh 控制矩陣已被納入 docs/security/IWOOOS-SECURITY-OPERATING-SYSTEM.md。該作戰系統是上層營運體制,用來固定:
20個主流框架參照。24條資安工作流,其中12條為 P0。5條 severity lane,將已確認入侵、已遭利用弱點、credential exposure、Wazuh agent 消失與 Nginx / firewall drift 排到前面。9欄告警訊息合約,要求告警必須白話、可行動、可驗證,不得只貼 raw log。8階 AI 自動化閉環與12個驗證階段。12條 no-false-green 規則,避免 route 200、Dashboard up、agent active、CD success 或 UI 可見被誤判成資安完成。
新作戰系統已由 scripts/security/iwooos-security-operating-system.py 產生 snapshot,並接入 security-mirror-progress-guard.py。目前只代表 source / snapshot / guard / 前台控制面收斂;Wazuh manager registry、Kali scope、alert receipt、incident case、host forensic 與 runtime response 仍維持 0% 或 0 / false。