alvarobmp/lab-wazuh

# 🛡️ Wazuh SIEM 实验室 - 安全运营中心 (SOC) 环境 本项目是一个从零开始在物理硬件上实施的安全基础设施实验室。其目的是展示在部署、配置和运营 **SIEM (Wazuh)** 堆栈方面的实践技能，用于主动监控、威胁检测和事件响应，模拟安全运营中心 (SOC) 环境。 **🔗 Wazuh 管理器、索引器和仪表板实施链接：** [实施](./docs/fase00.md) **🔗 勒索软件案例研究链接：** [模拟事件分析](./docs/fase01.md) **🔗 技术指南链接：** [技术指南](https://docs.google.com/document/d/1KyfFlBLtWp12uTAzH6rCvbW9NtEcqsY-N90rQfeKCMk/edit?usp=sharing) ## 🎯 项目目标 * 掌握完整的 SIEM 堆栈（Wazuh Manager、Indexer、Dashboard）的架构和实施。 * 配置和部署多平台代理（Linux、Windows）以实现日志集中收集。 * 实施和测试 SOC 的关键用例： * **文件完整性监控 (FIM)：** 检测关键文件中的未授权更改。 * **威胁检测：** 创建和测试自定义规则以识别恶意活动。 * **基础取证分析：** 使用 Sysmon 日志（进程创建、网络连接、持久性）进行事件调查。 * 开发仪表板以实现安全事件的可视化和关联。 ## 🏗️ 架构与技术 SIEM 服务器 - Ubuntu Server 20.04 LTS **Wazuh Manager** **Wazuh Indexer (OpenSearch)** **Wazuh Dashboard** 代理（受监控的终端） **Windows 10 + Wazuh Agent + Sysmon**

标签：AMSI绕过, CIDR输入, Conpot, DNS 反向解析, DNS 解析, ELK Stack, FIM文件完整性监控, HTTP工具, PE 加载器, SIEM部署, SOC安全运营中心, Sysmon, Ubuntu Server, Wazuh SIEM, Windows安全, x64dbg, 仪表板可视化, 勒索软件分析, 威胁检测, 子域名变形, 安全实验室, 数字取证, 无线安全, 物理基础设施, 端点安全, 网络信息收集, 网络安全审计, 自动化脚本, 自定义规则, 补丁管理