lucille-troubleshoots/raspberry-pi-security-monitoring-lab

# Raspberry Pi 4 安全监控实验室 ## 概述 基于 Raspberry Pi 搭建并记录了一个安全监控实验室，旨在通过实践掌握系统监控、身份验证事件及警报调查。配置了 Linux 日志记录和集中监控，用于识别失败的登录尝试和可疑的访问活动。 **重点领域：** 警报分级 · SSH 暴力破解检测 · 身份验证事件分析 · 事件文档记录 ## 架构 ``` [Network Traffic] │ ▼ [Raspberry Pi 4] ┌─────────────────────────────┐ │ Suricata (Network IDS) │ ← Detects suspicious traffic │ Pi-hole (DNS monitoring) │ ← Flags suspicious domains │ Wazuh Agent (SIEM) │ ← Centralizes logs & alerts │ Linux Auth Logs │ ← Tracks login attempts └─────────────────────────────┘ │ ▼ [Wazuh Dashboard] Alert triage · Incident review · Response documentation ``` ## 工具与技术栈 | 工具 | 用途 | |------|---------| | **Raspberry Pi OS Lite** | 基础 Linux 环境 | | **Wazuh** | SIEM — 日志聚合、警报分级、基于规则的检测 | | **Suricata** | 网络 IDS — 流量分析、威胁特征匹配 | | **Pi-hole** | DNS 层监控 — 可疑域名检测 | | **Linux Auth Logs** | 身份验证事件追踪（失败登录、SSH 尝试） | ## 调查的事件 ### SSH 暴力破解模拟 - **检测：** Wazuh 对重复的 SSH 身份验证失败尝试触发警报 - **分级：** 审查了源 IP、时间模式及尝试频率 - **响应：** 记录调查结果，识别攻击模式，记录补救步骤（fail2ban、仅密钥认证） - **结果：** 实践了从分级到文档记录的完整工作流 ### 可疑 DNS 查询检测 - **检测：** Pi-hole 标记了针对已知可疑域名的出站查询 - **分级：** 审查了查询日志，识别了网络中的源设备 - **结果：** 实践了基于 DNS 的威胁调查 ## 关键收获 - 获得了 SIEM 警报分级工作流的实践经验 - 练习了将原始日志数据转化为结构化的事件文档 - 熟悉了 Linux 身份验证日志和常见的攻击模式 - 建立了对分层检测（网络 + DNS + 主机）的理解 ## 背景 该实验室支持我从 IT 支持专家（美国劳工部，BLS）向 SOC 分析师的转型。我的联邦 IT 背景包括 3 年在合规驱动环境下的用户访问管理、MFA 故障排除及终端支持经验。 **认证：** CompTIA Security+ · Microsoft SC-900 ## 后续步骤 - [ ] 添加 KQL 查询以进行 Microsoft Sentinel 练习 - [ ] 记录更多的攻击模拟 - [ ] 集成 Kibana 进行日志可视化

标签：AMSI绕过, DNS监控, IP 地址批量处理, Metaprompt, PE 加载器, Pi-hole, Raspberry Pi, SOC实验室, SOC工作流, SSH暴力破解, Suricata, Tier 1分析师, Wazuh, 内存执行, 后端开发, 告警分流, 威胁检测, 安全实验环境, 安全运营, 库, 应急响应, 扫描框架, 攻击模拟, 现代安全运营, 网络安全, 隐私保护, 驱动签名利用