Victoria19888/SIEM
GitHub: Victoria19888/SIEM
这是一个基于 Wazuh 的 SIEM 家庭实验室项目,通过部署监控节点和模拟攻击场景,演示如何利用日志分析和文件完整性监控进行实时威胁检测与事件响应。
Stars: 1 | Forks: 0
# Wazuh SIEM - 事件响应家庭实验室
一个动手实践的网络安全家庭实验室,演示使用 Wazuh SIEM 进行现实世界的威胁检测和事件响应。构建于 VMware Workstation 中,包含多个虚拟机,包括 Kali Linux,用于模拟攻击者和受害者环境。
## 实验环境设置
| VM | 角色 | IP | OS |
| ----------- | -------------------------------- | -------------- | ----------- |
| SIEM Server | Wazuh v4.7.5 Manager + Dashboard | 192.168.48.140 | Ubuntu |
| Agent 001 | 受监控的受害者端点 | 192.168.48.148 | Kali Linux |
| Attacker | 攻击源 | 同一子网 | Debian 13.x |
所有虚拟机都隔离在一个 VMware NAT 网络中,没有暴露到互联网。
## Wazuh 检测到的发现
| 发现 | 严重性 | MITRE | 规则 |
| -------------------------------------------------------------------- | -------- | ------------ | ----- |
| 被植入木马的系统二进制文件 (`/usr/bin/diff`, `/bin/diff`, `/bin/chsh`) | HIGH | T1014 | 510 |
| `/etc/shadow` 被实时修改(哈希值已更改) | CRITICAL | T1565.001 | 550 |
| `/etc/sudoers` 被实时修改 | CRITICAL | T1565.001 | 550 |
| 创建了异常的 root 账户(UID 0) | CRITICAL | T1136, T1078 | N/A |
| 防御规避活动,其中 agent 被停止了 3 次 | MEDIUM | T1562.001 | 506 |
| SSH 暴力破解尝试(1400 万+ 密码) | MEDIUM | T1110 | N/A |
| 发现 SSH 加固问题(9 个发现) | MEDIUM | N/A | 19007 |
| AppArmor 策略违规 | LOW | N/A | 52002 |
## 模拟的攻击
```
# SSH 暴力破解
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://127.0.0.1 -t 4
# Rogue root 账户
echo "root2:x:0:0:root:/root:/bin/bash" >> /etc/passwd
sudo useradd -o -u 0 -g 0 -M hacker
# 关键文件篡改
echo "test" >> /etc/shadow
echo "test" >> /etc/sudoers
```
## 使用的关键 Wazuh 功能
* File Integrity Monitoring (FIM)
通过 SHA256 哈希比对实时检测 `/etc/shadow` 和 `/etc/sudoers` 的更改
* Rootcheck
检测与已知 rootkit 签名匹配的被植入木马的二进制文件
* SCA
自动化的 SSH 加固审计
* MITRE ATT and CK mapping
自动将警报标记为战术和技术
* PAM log analysis
检测提权活动
* AppArmor integration
策略违规告警
## 触发的合规框架
PCI DSS
HIPAA
GDPR
NIST 800-53
GPG13
TSC
## 文件
```
wazuh-ir-lab/
├── README.md
├── ir-report.pdf
└── screenshots/
```
## 如何复现
**安装 Wazuh (Ubuntu):**
```
curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
curl -sO https://packages.wazuh.com/4.7/config.yml
# 编辑 config.yml 并将 IP 替换为你的 SIEM VM IP
sudo bash wazuh-install.sh -a -i
```
**安装 agent (在受害者 VM 上):**
```
wget https://packages.wazuh.com/4.x/apt/pool/main/w/wazuh-agent/wazuh-agent_4.7.3-1_amd64.deb
sudo WAZUH_MANAGER='YOUR_SIEM_IP' dpkg -i ./wazuh-agent_4.7.3-1_amd64.deb
sudo systemctl enable wazuh-agent && sudo systemctl start wazuh-agent
```
**在 /etc 上启用实时 FIM (在 `/var/ossec/etc/ossec.conf` 中):**
```
/etc,/usr/bin,/usr/sbin
```
`Wazuh` `SIEM` `Incident Response` `FIM` `MITRE ATT&CK` `Linux` `VMware` `SOC` `Threat Detection`
标签:AMSI绕过, AppArmor, BurpSuite集成, Cloudflare, Cyber Range, MITRE ATT&CK, SSH加固, SSH暴力破解, Syslog, VMware Workstation, Wazuh SIEM, Web归档检索, Windows事件日志, 入侵检测系统, 凭证访问, 动态调试, 威胁检测, 安全实验, 安全数据湖, 安全运营中心, 家庭实验室, 提权, 混合加密, 漏洞告警, 私有化部署, 红队模拟, 网络安全, 网络映射, 自定义仪表板, 蓝队防御, 虚拟化环境, 防御规避, 隐私保护