yadavnikhil17102004/MyWazuhLab

# 🌌 MyWazuhLab: 企业级 SOC 情报实验室 ## 🏛️ 系统架构 ``` graph TD subgraph "Perimeter Control" pfSense["pfSense Firewall"] --> |"Inbound/Outbound Traffic"| WAN["Public Internet"] end subgraph "Internal Intelligence" Suricata["Suricata IDS"] --> |"EVE JSON Logs"| WazuhMgr["Wazuh Manager (SIEM)"] WazuhMgr --> |"Analysis & Alerting"| Indexer["Wazuh Indexer / Dashboard"] end subgraph "Endpoints & Telemetry" WinAgent["Windows Endpoint"] --> |"Sysmon + Wazuh Agent"| WazuhMgr VT["VirusTotal API"] <--> |"Threat Enrichment"| WazuhMgr end pfSense -.-> |"Syslog"| WazuhMgr ``` ## 🧬 战术工作流：检测即代码 本实验室遵循安全运营的持续改进循环。 ``` sequenceDiagram participant AD as Attack Simulation (Python) participant EP as Windows Endpoint (Sysmon) participant WZ as Wazuh SIEM participant Git as GitHub (Ruleset) AD->>EP: Trigger Offensive TTP (e.g. Discovery) EP->>WZ: Ship High-Fidelity Logs Git->>WZ: Deploy Custom Rules WZ->>WZ: Pattern Match & Alert Note right of WZ: SOC Alert Triggered! ``` ## ⚡ 这是什么？ 一个全副武装、虚拟化的安全运营中心 (SOC) 环境，旨在模拟、检测和消除高级持续性威胁。该实验室集成了开源 XDR (Wazuh)、网络级深度包检测 (Suricata) 和防火墙，以构建具有绝对可见性的综合防御边界。 **为什么？** 因为光看安全理论是不够的。你必须亲手建造这个“全景敞视监狱”才能理解如何攻破它（或防御它）。 ## 🏗 架构蓝图 该环境完全在隔离的 VMware 基础设施内运行，以模拟处于主动攻击模拟下的企业公司网络。 1. **Wazuh Central Hub：** 大脑。管理 Indexer、Server 和 Dashboard。摄取并关联所有端点和网络遥测数据。 2. **Windows 11 Client：** 诱饵端点。安装了 Wazuh Agent 和 Sysmon，用于 ring-0 级别的遥测。 3. **Kali Linux：** 攻击者。专用攻击基础设施，用于向边界发动漏洞利用和暴力破解攻击。 4. **pfSense Edge Firewall：** 守门人。控制进/出流量，并将结构性流量异常直接转发到 Wazuh。 5. **Suricata IDS/IPS：** 窃听器。被动监控深度包流量，并向集中式 SIEM 发送高保真签名警报。 ## 📡 运营能力 这个 SOC 实现不仅仅是一个日志汇聚点；它主动利用多个威胁情报流来构建分层防御。 ### 1. 文件完整性与信誉 - 将 VirusTotal API 直接集成到 Wazuh Manager 中，以自动扫描 Windows 端点上投放的可疑二进制文件。 - FIM (File Integrity Monitoring) 监控关键 OS 目录，并在文件被修改的瞬间触发警报。 ### 2. 深度 Windows 遥测 - 基本的 Windows Event Logs 是不够的。部署 Sysmon 以跟踪精确的进程创建树、可执行文件生成的网络连接以及文件创建哈希。 - Sysmon 日志直接传输到 Wazuh 进行集中式行为分析。 ### 3. 攻击模拟：SSH 暴力破解战役 - 模拟来自 Kali 攻击节点针对内部基础设施的持续性 Hydra 暴力破解攻击。 - 通过 `Event ID 4625` (Failed Logon) 和 Wazuh 原生关联引擎验证实时警报生成。 - 使用 Active Response 自动化进行主动防御，直接从网络层封禁攻击 IP。 ## 📖 深度文档 该基础设施的每一个阶段都经过了详尽的记录。如果你想复制此设置，操作手册包含在此处： - [Wazuh 核心配置](docs/Wazuh_configuration.md) - [Suricata IDS 集成](docs/Suricata_integration.md) - [pfSense Edge 配置](docs/Pfsense_integration.md) - [VirusTotal API 富化](docs/VirusTotal_integration.md) - [FIM (文件完整性监控)](docs/File_integrity_monitoring.md) - [Sysmon 与遥测管道](docs/Logs_Sysmon_ingestion.md) - [主动威胁：暴力破解模拟](docs/SSH_Brute_Force.md) ## 🚀 第 2 阶段：自动化与检测工程 该实验室已演进为一个自动化的“检测工程”平台。 ### 1. 基础设施即代码 - **自动部署：** 使用 `ansible/` playbooks 通过单条命令在新端点上部署 Wazuh agents 和 Sysmon 配置。 - **配置即代码：** 遥测设置在 [ansible/playbook.yml](ansible/playbook.yml) 中进行版本控制。 ### 2. 检测即代码 - **自定义规则集：** 自定义的高保真检测规则存储在 [rules/wazuh/](rules/wazuh/) 中。 - **版本控制：** 遵循行业最佳实践，通过 Git 管理和审计你的检测规则。 ### 3. 自动化攻击模拟 - **触发警报：** 使用 [simulations/](simulations/) 中的 Python 套件以编程方式触发自定义检测规则并验证你的 SIEM 管道。 ``` # 触发检测基线 python3 simulations/trigger_alerts.py ``` ## ⚠️ 交战规则 该环境是一个受控的爆炸室。确保所有攻击模拟都明确针对授权的基础设施。 _为检测而生。为安全而建。_

标签：AMSI绕过, Ask搜索, Conpot, HTTP/HTTPS抓包, Metaprompt, pfSense, Suricata, Sysmon, VirusTotal, VMware, Wazuh, Windows安全, x64dbg, 代码化检测, 企业安全, 入侵检测系统, 威胁情报, 威胁检测, 安全实验, 安全数据湖, 安全架构, 安全运营中心, 开发者工具, 态势感知, 插件系统, 流量嗅探, 深度包检测, 渗透测试模拟, 现代安全运营, 端点安全, 系统提示词, 网络安全, 网络安全分析, 网络安全审计, 网络映射, 网络资产管理, 虚拟化环境, 补丁管理, 逆向工具, 防火墙, 隐私保护