nkematehp/wazuh-soc-detection-home-lab

GitHub: nkematehp/wazuh-soc-detection-home-lab

基于 Wazuh 构建的 SOC 家庭实验室,提供端到端的威胁检测、事件调查与自动化响应实践环境。

Stars: 0 | Forks: 0

# Wazuh SOC 检测家庭实验室 一个基于 Wazuh 的 SOC 家庭实验室,用于监控、威胁检测、事件调查和自动化响应。 ## 功能 - Wazuh Manager、Indexer 和 Dashboard - Windows 和 Linux 端点监控 - 自定义检测规则 - MITRE ATT&CK 映射 - 事件调查 - 文件完整性监控 (FIM) - Wazuh Active Response ## 为什么构建此项目 构建此项目旨在通过模拟攻击、编写检测规则、调查警报和实施自动化响应,来获得使用 Wazuh 的实践经验。 ## 实验室环境 | 系统 | 角色 | IP 地址 | | ----------------- | --------------------------------- | --------------- | | 监控服务器 | Wazuh Manager, Indexer, Dashboard | 192.168.211.156 | | Ubuntu 服务器 | Linux 端点 | 192.168.211.157 | | Windows 10 Home | Windows 端点 | 192.168.211.158 | | Kali Linux 2025.4 | 攻击机 | DHCP | Wazuh Manager 监控两个端点: - ubuntu-server - windows-endpoint Kali Linux 用于模拟攻击。 ## 架构 实验室架构由一个 Wazuh Manager 和两个受监控的端点组成。 ![Wazuh 架构](https://static.pigsec.cn/wp-content/uploads/repos/cas/21/2185deb01b277afe3ec028bd534e1b64ad2939968ae3126f263e5db4edf8a7dd.png) ![网络拓扑](https://static.pigsec.cn/wp-content/uploads/repos/cas/a4/a4784863019a4641d352d4e57a740aabfadaca0585fd2d9b0681c1d5c365cbce.png) ## 使用的技术 - VMware Workstation Pro - Ubuntu Server 24.04 LTS - Windows 10 Home - Kali Linux 2025.4 - Wazuh - Sysmon - rsyslog - OpenSSH - MITRE ATT&CK Framework ## 攻击场景 | # | 攻击 | MITRE ATT&CK | | - | ---------------------------- | ---------------- | | 1 | SSH 暴力破解 | T1110 | | 2 | Windows 侦察 | T1082, T1016 | | 3 | 注册表 Run 键持久化 | T1547.001 | | 4 | 文件完整性监控 | T1222, T1485 | ## 检测规则 实验室中使用的自定义 Wazuh 规则。 - [规则说明](rules/rule-explanations.md) - [自定义规则](rules/custom-rules.xml) - [解码器](rules/decoders.xml) ## 调查报告 每次攻击都包含相应的调查报告。 - [SSH 暴力破解调查](investigations/01-ssh-bruteforce.md) - [Windows 侦察调查](investigations/02-windows-reconnaissance.md) - [注册表持久化调查](investigations/03-registry-persistence.md) - [文件完整性监控调查](investigations/04-file-integrity-monitoring.md) ## 主动响应 SSH 暴力破解攻击使用 Wazuh Active Response 自动进行缓解。 - [使用 Wazuh Active Response 封锁 SSH IP](active-response/ssh-ip-blocking.md) ## 截图 ### Wazuh Dashboard ![Wazuh Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/cas/ef/ef16c5bc17d773cd2f14a2db70670df7268bed268155331c8a2f63529235f943.png) ### SSH 暴力破解检测 ![SSH 暴力破解检测](https://static.pigsec.cn/wp-content/uploads/repos/cas/00/007d92d1c696113175d92f8fb9a0b11851e5e0a52794566024b751d1d3a1b846.png) ### Windows 侦察检测 ![侦察检测](https://static.pigsec.cn/wp-content/uploads/repos/cas/a0/a0ac07d189277fec1e0db70b7624c828fc3ef6d6859b56c1539cdd562f4ad2b7.png) ### 已连接的 Agent ![已连接的 Agent](https://static.pigsec.cn/wp-content/uploads/repos/cas/14/14952d48d721390b4268fdaeb6d7a0b5b92e754f09bbc16fe9392f31c73b2d60.png) ## 仓库结构 ``` wazuh-soc-detection-homelab/ ├── README.md │ ├── architecture/ │ ├── network-topology.png │ └── wazuh-architecture.png │ ├── setup/ │ ├── monitoring-server.md │ ├── ubuntu-server.md │ ├── windows-endpoint.md │ ├── kali-linux.md │ ├── wazuh-installation.md │ └── agent-deployment.md │ ├── attack-scenarios/ │ ├── 01-ssh-bruteforce.md │ ├── 02-windows-reconnaissance.md │ ├── 03-registry-persistence.md │ └── 04-file-integrity-monitoring.md │ ├── investigations/ │ ├── 01-ssh-bruteforce.md │ ├── 02-windows-reconnaissance.md │ ├── 03-registry-persistence.md │ └── 04-file-integrity-monitoring.md │ ├── active-response/ │ └── ssh-ip-blocking.md │ ├── rules/ │ ├── custom-rules.xml │ ├── decoders.xml │ └── rule-explanations.md │ ├── screenshots/ │ ├── agents-connected.png │ ├── file-integrity-monitoring-alerts.png │ ├── hydra-attack-blocked.png │ ├── registry-persistence-alerts.png │ ├── ssh-bruteforce-alerts.png │ ├── ssh-bruteforce-hydra.png │ ├── wazuh-active-response-alert.png │ ├── wazuh-dashboard.png │ ├── wazuh-login.png │ ├── wazuh-services.png │ └── windows-reconnaissance-alerts.png │ └── notes/ ├── lessons-learned.md └── recommendations.md ``` ## 安装与配置文档 - [监控服务器设置](setup/monitoring-server.md) - [Wazuh 安装](setup/wazuh-installation.md) - [Ubuntu 服务器设置](setup/ubuntu-server.md) - [Windows 端点设置](setup/windows-endpoint.md) - [Kali Linux 设置](setup/kali-linux.md) - [Agent 部署](setup/agent-deployment.md) ## 安装与配置顺序 1. 监控服务器设置 2. Wazuh 安装 3. Ubuntu 服务器设置 4. Windows 端点设置 5. Kali Linux 设置 6. Agent 部署 7. 攻击场景 8. 调查 9. Active Response 配置 ## 作者 **Princewill Nkemateh**
标签:AMSI绕过, Wazuh, 后渗透, 威胁检测, 安全实验室, 安全运营中心, 无线安全, 终端监控, 网络映射, 自动化响应