Some checks failed
Code Review / ai-code-review (push) Successful in 13s
CD Pipeline / tests (push) Successful in 1m41s
CD Pipeline / build-and-deploy (push) Successful in 5m0s
CD Pipeline / post-deploy-checks (push) Successful in 1m30s
Ansible / Reboot Recovery Contract / validate (push) Has been cancelled
183 lines
13 KiB
Markdown
183 lines
13 KiB
Markdown
# IwoooS SOC / SIEM / Kali 112 / Wazuh 整合控制矩陣
|
||
|
||
| 項目 | 內容 |
|
||
|------|------|
|
||
| 日期 | 2026-06-25 |
|
||
| 狀態 | `soc_siem_kali_wazuh_integration_control_ready_no_runtime_action` |
|
||
| 工具 | `scripts/security/soc-siem-kali-wazuh-integration-control.py` |
|
||
| Snapshot | `docs/security/soc-siem-kali-wazuh-integration-control.snapshot.json` |
|
||
| 主流 AISOC 路線圖 | `docs/security/MAINSTREAM-AISOC-SECURITY-CONTROL-ROADMAP.md` |
|
||
| runtime gate | `0` |
|
||
|
||
## 1. 目的
|
||
|
||
此矩陣把「整體資安監控、告警、Kali 112 與業界主流機制」整合成 IwoooS 可驗收的 SOC 控制面。它不是再多一張靜態規劃表,而是把 Wazuh、Kali 112、Prometheus / Alertmanager、SigNoz、Sentry、Nginx / gateway、host forensic、Docker / systemd、K8s / ArgoCD、Gitea / runner、Harbor / SBOM、backup / DR 都拉進同一條事件鏈。
|
||
|
||
本階段仍是 repo / snapshot / guard / 前台可視化控制,不是 runtime 授權。它不呼叫 Wazuh API、不呼叫 Kali、不 SSH、不讀 live log、不送 Telegram、不 reload Prometheus / Alertmanager、不建立 SOAR case、不啟用 Wazuh active response、不跑 active scan、不改 firewall / Nginx / K8s / workflow / secret。
|
||
|
||
## 2. 導入的主流框架
|
||
|
||
| 框架 | 導入方式 |
|
||
|------|----------|
|
||
| NIST CSF 2.0 | 以 Govern、Identify、Protect、Detect、Respond、Recover 當 IwoooS SOC 主流程骨架 |
|
||
| NIST SP 800-61 Rev. 3 | 將 incident response 建議轉成 case gate、postcheck 與 lesson learned 回寫 |
|
||
| CIS Controls v8.1 | 導入資產盤點、漏洞管理、稽核日誌、惡意程式防護、復原與權限審查 |
|
||
| CISA Zero Trust Maturity Model | 補 identity、device、network、application、data、visibility 與 automation 成熟度 |
|
||
| CISA KEV | 已知遭利用漏洞作為套件 / image / public service 修補優先序 |
|
||
| MITRE ATT&CK / D3FEND | 用攻擊技術、資料源、防禦 countermeasure 與 coverage gap 校準偵測工程 |
|
||
| OWASP ASVS / SAMM | 前後台、API、auth、access-control、secure SDLC 與 logging 驗證,不落 secret |
|
||
| Wazuh XDR / SIEM | endpoint、FIM、rule、decoder、alert 與 active response dry-run 邊界 |
|
||
| Wazuh Active Response | 只採能力模型與 dry-run / rollback gate;目前不啟用 response |
|
||
| Prometheus Alertmanager | 導入 grouping、dedup、routing、silence、inhibit 與 receipt 驗收 |
|
||
| OpenTelemetry | 以 traces、metrics、logs、resource 與 semantic conventions 關聯 incident evidence |
|
||
| SLSA / Sigstore / SBOM | 將 provenance、artifact signing、SBOM 與驗章納入供應鏈 lane |
|
||
| Suricata / Zeek NDR | 先預留被動網路偵測 lane,IPS / inline blocking 需獨立批准 |
|
||
| Kali tooling | Kali 112 作為只讀健康、工具版本、scope 與 finding normalization 節點 |
|
||
|
||
## 3. 控制域
|
||
|
||
| 控制域 | 第一階段要求 |
|
||
|--------|--------------|
|
||
| 資產與 owner | 所有 host、service、repo、domain、gateway、runner、backup asset 都要有 alias 與 owner mapping |
|
||
| Endpoint / host log | auth、process、network、package、systemd、Docker 訊號要能指到 redacted evidence ref |
|
||
| FIM / persistence | 以 Wazuh FIM、process tree、systemd、cron、authorized_keys、port binding 做持久化判讀 |
|
||
| Vulnerability / KEV | CVE、KEV、套件、image、SBOM 與 maintenance window 綁在一起 |
|
||
| NDR / IDS | Suricata / network detection 先做 passive telemetry lane,不直接變 IPS |
|
||
| Wazuh SIEM | 只接 health ref、agent status ref、event ref、rule / decoder readback,不接 raw payload |
|
||
| Kali 112 | 只接 health、tool version、scope、normalized finding envelope,不接 `/execute` |
|
||
| 告警路由 | Prometheus / Alertmanager / Telegram / no-false-green / noise budget 要一起驗證 |
|
||
| Incident / Case | finding 升級要有 owner、severity、confidence、dedupe、SLA 與 escalation |
|
||
| 鑑識保存 | chain of custody、retention、redaction、raw payload absence 必須可驗 |
|
||
| 配置漂移 | Nginx、firewall、K8s、runner、workflow、secret metadata、host config diff 皆納管 |
|
||
| 供應鏈 | Gitea、runner、workflow、deploy key、Harbor、SBOM、image 與 release evidence 串回 SIEM |
|
||
| IAM / secret | SSH、sudo、token、cookie、env、runner secret 只能收 metadata,不收 value |
|
||
| Web / API AppSec | auth decision、access deny、rate-limit、security headers、CORS、webhook 要有 logging 與 owner |
|
||
| Backup / DR | backup existence 不能當 restore proof;restore drill、offsite、escrow、rollback 才能驗收 |
|
||
| Reporting | dashboard、KPI、LOGBOOK、frontstage marker 必須保持 0 / false 邊界 |
|
||
|
||
## 4. 固定數字
|
||
|
||
| 指標 | 數值 |
|
||
|------|------|
|
||
| 主流框架 | `14` |
|
||
| 營運角色 | `9` |
|
||
| 事件生命週期階段 | `8` |
|
||
| 成熟度階段 | `7` |
|
||
| 驗證 Gate | `18` |
|
||
| 控制域 | `16` |
|
||
| C0 控制域 | `12` |
|
||
| C1 控制域 | `4` |
|
||
| 訊號源 | `12` |
|
||
| 控制候選 | `20` |
|
||
| C0 控制候選 | `12` |
|
||
| C1 控制候選 | `8` |
|
||
| P0 控制候選 | `12` |
|
||
| P1 控制候選 | `8` |
|
||
| owner 必填欄位 | `42` |
|
||
| reviewer checks | `36` |
|
||
| outcome lanes | `14` |
|
||
| blocked actions | `103` |
|
||
| owner response received / accepted | `0 / 0` |
|
||
| Wazuh event refs accepted | `0` |
|
||
| Kali scope / finding envelope accepted | `0 / 0` |
|
||
| active response / active scan / SOAR / auto block | `0 / 0 / 0 / 0` |
|
||
| runtime gate / action button | `0 / 0` |
|
||
|
||
## 5. 專業資安營運體制
|
||
|
||
本輪補強不是把工具名稱堆到頁面,而是補上業界 SOC / CSIRT / DevSecOps 需要的責任、流程與驗證口徑。所有角色都只代表審查責任,不代表 runtime action 授權。
|
||
|
||
| 類型 | 數量 | IwoooS 採用方式 |
|
||
|------|------|-----------------|
|
||
| 營運角色 | `9` | IwoooS control owner、SOC reviewer、incident commander、platform owner、service owner、evidence custodian、change manager、AI security reviewer、executive risk owner |
|
||
| 事件生命週期 | `8` | 準備治理、偵測正規化、分流排序、調查關聯、圍堵決策、清除復原、事後學習、持續改善 |
|
||
| 成熟度階段 | `7` | L0 分散觀測到 L6 受治理低風險自動化;目前停在 L1 / L2 只讀證據與 owner packet |
|
||
| 驗證 Gate | `18` | owner mapping、source-to-live diff、脫敏證據、secret absence、Wazuh registry、Kali scope、alert receipt、case id、rollback、maintenance window、postcheck、production smoke 等 |
|
||
|
||
這代表 IwoooS 後續對「主機疑似入侵、Wazuh agent 消失、Nginx 被改、端口被關、告警格式不專業、AI agent 過度執行」都必須先形成 case / evidence / owner / rollback / postcheck,再進入人審或 dry-run。沒有這些欄位時,前台可以顯示風險與下一步,但不能顯示成已修復、已授權或可執行。
|
||
|
||
## 6. 第一批 P0 優先順序
|
||
|
||
| 優先 | 候選 | 狀態 |
|
||
|------|------|------|
|
||
| P0-1 | 資產與 owner 對應表先完整 | `waiting_soc_owner_packet` |
|
||
| P0-2 | Wazuh agent / manager / indexer / dashboard health ref 收件 | `waiting_soc_owner_packet` |
|
||
| P0-3 | Host auth / process / network / FIM 訊號正規化 | `waiting_soc_owner_packet` |
|
||
| P0-4 | Kali 112 health / tool version / scope approval 串接 | `waiting_soc_owner_packet` |
|
||
| P0-5 | Kali finding 只接脫敏 envelope,不接 raw output | `waiting_soc_owner_packet` |
|
||
| P0-6 | Prometheus / Alertmanager / Telegram 告警鏈 no-false-green | `waiting_soc_owner_packet` |
|
||
| P0-7 | Sentry / SigNoz 與主機入侵線索關聯 | `waiting_soc_owner_packet` |
|
||
| P0-8 | Nginx / firewall / route / TLS / gateway drift 關聯到 SIEM | `waiting_soc_owner_packet` |
|
||
| P0-9 | Gitea / runner / workflow / secret metadata 供應鏈關聯 | `waiting_soc_owner_packet` |
|
||
| P0-10 | CISA KEV / CVE / package / image 風險排序 | `waiting_soc_owner_packet` |
|
||
| P0-11 | Incident case / owner response / escalation queue | `waiting_soc_owner_packet` |
|
||
| P0-12 | 鑑識證據、chain of custody、redaction 與保存期 | `waiting_soc_owner_packet` |
|
||
|
||
## 7. Runtime 升級順序
|
||
|
||
1. Repo / snapshot / guard / frontstage marker 完成。
|
||
2. Owner 補齊 Wazuh、Kali、host forensic、gateway diff、alert route、supply-chain、KEV / CVE、backup / DR 的脫敏 evidence refs。
|
||
3. Reviewer 驗收 raw payload absence、secret absence、dedupe fingerprint、noise budget、rollback owner 與 postcheck owner。
|
||
4. 只讀 ingestion 或 mirror 可在獨立批准後啟用。
|
||
5. Active response、Kali active scan、credentialed scan、SOAR case create、firewall containment、IPS / blocking 另開維護窗口與 runtime approval。
|
||
|
||
## 8. 禁止動作
|
||
|
||
本階段明確阻擋 Wazuh live API 查詢、Wazuh active response、Wazuh agent / rule / decoder 變更、raw Wazuh payload 儲存、Kali `/scan`、Kali `/execute`、Nmap / Nuclei / Nikto / Trivy / Lynis live scan、Kali package update、Kali reboot、SSH / sudo、host log 讀取、Docker / systemd、Nginx、certbot、DNS、firewall、WireGuard、NodePort、NetworkPolicy、ArgoCD、kubectl、Helm、Prometheus reload、Alertmanager reload、Grafana / SigNoz / Sentry / Langfuse 設定、Telegram 實發、SOAR playbook、auto block、secret rotation、workflow / runner / deploy key / webhook / repo secret 變更、raw packet / raw log / 未脫敏截圖、database migration、production write、runtime gate、action button、force push、refs sync 與 GitHub primary switch。
|
||
|
||
## 9. 完成度
|
||
|
||
- SOC / SIEM / Kali / Wazuh 整合控制矩陣:`100%`
|
||
- 業界主流資安營運體制補強:`100%` 來源端
|
||
- 前台只讀可視化:待本輪驗證
|
||
- 高價值配置 monitoring / alerting / observability 只讀成熟度:`78%`
|
||
- security evidence tooling 只讀成熟度:`88%`
|
||
- Wazuh event refs accepted:`0%`
|
||
- Kali active scan / `/execute`:`0%`
|
||
- SOAR / active response / auto block:`0%`
|
||
- runtime gate / action button:`0%`
|
||
|
||
下一步不是直接掃描或封鎖,而是收齊 owner packet:Wazuh event refs、Kali scope refs、host forensic refs、alert chain refs、gateway diff refs、supply-chain refs、KEV / CVE refs、incident case refs、rollback owner 與 postcheck。驗收前 IwoooS 不宣稱主機乾淨、不宣稱木馬已清除、不宣稱 SIEM 已完成閉環,也不提供任何執行按鈕。
|
||
|
||
## 10. 2026-06-18 主流 AISOC 補齊
|
||
|
||
已新增 `docs/security/MAINSTREAM-AISOC-SECURITY-CONTROL-ROADMAP.md`,把主流框架與 AISOC 解決方案拆成 IwoooS 可執行工作包。補齊範圍包含 NIST CSF、CIS Controls、CISA Zero Trust、CISA KEV、MITRE ATT&CK / D3FEND、OWASP ASVS / SAMM / SCVS、SLSA、Sigstore、NIST AI RMF、OWASP LLM Top 10、MITRE ATLAS、CSA AI Controls Matrix、OCSF、Sigma、MISP / OpenCTI、Wazuh、Suricata、Zeek、TheHive / Cortex,以及 Microsoft Sentinel / Security Copilot、Google SecOps / Agentic SOC、Cortex XSIAM、CrowdStrike Falcon Next-Gen SIEM / Charlotte AI、Splunk ES / SOAR、Elastic AI SOC Engine、IBM QRadar SOAR、SentinelOne Purple AI 的能力模型。
|
||
|
||
主流 AISOC 不是自動修復器。IwoooS 採用的順序是先建 AI-ready data foundation,再做 alert triage、investigation plan、threat hunting、case drafting、enrichment、playbook dry-run、human-in-the-loop response、continuous learning 與 governed autonomy。當前全部 response / containment / auto block / SOAR action / Wazuh active response / Kali active scan 仍為 `0 / false`。
|
||
|
||
補齊後第一優先順序如下:
|
||
|
||
1. P0-A 資產 / 配置總清冊。
|
||
2. P0-B Wazuh / Kali 112 / SIEM evidence envelope。
|
||
3. P0-C Nginx / Gateway config-control。
|
||
4. P0-D 端點入侵偵測與鑑識。
|
||
5. P0-E 告警鏈 no-false-green。
|
||
6. P0-F KEV / package / image / SBOM 關聯。
|
||
7. P0-G Incident case gate。
|
||
8. P0-H AI Agent 權限閘。
|
||
|
||
## 11. 2026-06-25 專業體制化補強
|
||
|
||
本輪把原本 `7` 個主流框架擴到 `14` 個,並新增 `9` 個營運角色、`8` 段事件生命週期、`7` 階成熟度與 `18` 個驗證 Gate。這些欄位已寫入 `docs/security/soc-siem-kali-wazuh-integration-control.snapshot.json`,並由 `security-mirror-progress-guard.py` 固定檢查。
|
||
|
||
新的完成度口徑:
|
||
|
||
- SOC / SIEM / Kali / Wazuh 整合控制矩陣:`100%` 來源端。
|
||
- 業界主流體制化補強:`100%` 來源端。
|
||
- IwoooS 資安體制完整度:`70% -> 76%` 來源端;owner evidence、Wazuh manager registry truth、Kali active scan、SOAR / active response 與 runtime gate 仍維持 `0%`。
|
||
- 前台可視化:需完成 production desktop / mobile smoke 後才可宣告 production visible。
|
||
- runtime / host write / active response / active scan / auto block:全部維持 `0 / false`。
|
||
|
||
## 12. 2026-06-25 作戰系統上層整合
|
||
|
||
SOC / SIEM / Kali / Wazuh 控制矩陣已被納入 `docs/security/IWOOOS-SECURITY-OPERATING-SYSTEM.md`。該作戰系統是上層營運體制,用來固定:
|
||
|
||
- `20` 個主流框架參照。
|
||
- `24` 條資安工作流,其中 `12` 條為 P0。
|
||
- `5` 條 severity lane,將已確認入侵、已遭利用弱點、credential exposure、Wazuh agent 消失與 Nginx / firewall drift 排到前面。
|
||
- `9` 欄告警訊息合約,要求告警必須白話、可行動、可驗證,不得只貼 raw log。
|
||
- `8` 階 AI 自動化閉環與 `12` 個驗證階段。
|
||
- `12` 條 no-false-green 規則,避免 route 200、Dashboard up、agent active、CD success 或 UI 可見被誤判成資安完成。
|
||
|
||
新作戰系統已由 `scripts/security/iwooos-security-operating-system.py` 產生 snapshot,並接入 `security-mirror-progress-guard.py`。目前只代表 source / snapshot / guard / 前台控制面收斂;Wazuh manager registry、Kali scope、alert receipt、incident case、host forensic 與 runtime response 仍維持 `0%` 或 `0 / false`。
|