TheCipherNova/home-soc-wazuh-detection-lab

# 家庭 SOC 实验室 – 使用 Wazuh 进行检测工程 ## 概述 本项目演示了在**家庭安全运营中心 (SOC) 实验室**中使用 **Wazuh SIEM** 模拟的凭据失陷场景。 该实验室探讨了如何收集、解析、关联原始 Windows 认证遥测数据，并将其转化为高置信度的安全检测。 模拟攻击模拟了真实的攻击者行为路径： 1. 暴力破解认证尝试 2. 使用失陷凭据成功登录 3. 通过修改管理员组实现权限提升 项目实施了自定义 Wazuh 关联规则以检测此多阶段攻击链并适当地升级警报。生成的警报已与原始 Windows 安全事件日志进行比对验证，以确认检测准确性。 本项目展示了实际的**检测工程**，包括遥测分析、关联规则设计、警报验证和攻击时间线重建。 # 使用的技术 - Wazuh SIEM (Manager, Indexer, Dashboard) - Windows 安全事件日志记录 (Windows Security Event Logging) - Ubuntu Linux Server - Windows 11 端点 - Oracle VirtualBox - 自定义 Wazuh 检测规则 - MITRE ATT&CK 框架 # 1. 实验室环境 SOC 实验室是使用 **Oracle VirtualBox 内的两台虚拟机**构建的，用于模拟受监控的端点和集中监控系统。 ## 虚拟机 ### Wazuh 服务器 (监控系统) | 组件 | 配置 | |---|---| | OS | Ubuntu 24.04 | | RAM | 6 GB | | CPU | 4 Cores | | Network | Bridged Adapter | 安装的组件： - Wazuh Manager - Wazuh Indexer - Wazuh Dashboard - Filebeat 该系统充当**集中 SIEM 平台**，负责日志收集、规则评估和警报生成。 ### Windows 端点 (受监控的主机) | 组件 | 配置 | |---|---| | OS | Windows 11 | | RAM | 6 GB | | CPU | 4 Cores | | Network | Bridged Adapter | 安装的组件： - Wazuh Agent 该 Agent 将 Windows 安全事件日志转发给 Wazuh Manager。 # 2. SOC 实验室架构 ``` Home SOC Lab Architecture +-------------------------------------+ | Windows 11 Endpoint | | | | - Windows Security Event Logs | | - Event IDs: 4625, 4624, 4732 | | - Wazuh Agent Installed | +--------------------+----------------+ | | Log Forwarding v +-------------------------------------+ | Wazuh Manager Server | | Ubuntu 24.04 | | | | - Wazuh Manager | | - Custom Detection Rules | | - Event Correlation Engine | +--------------------+----------------+ | v +-------------------------------------+ | Wazuh Indexer | | (Elasticsearch Backend) | +--------------------+----------------+ | v +-------------------------------------+ | Wazuh Dashboard | | Alert Visualization & Search | +-------------------------------------+ ``` Windows 端点生成认证遥测数据，并将其转发给 Wazuh Manager。 事件根据检测规则进行评估，存储在 Indexer 中，并通过 Wazuh Dashboard 进行可视化。 # 3. 网络配置 两台机器均配置为使用 **Bridged Adapter 网络**，使其能够在同一网络上获取 IP 地址。 配置示例： | 系统 | IP 地址 | |---|---| | Ubuntu Wazuh Server | 192.168.29.208 | | Windows Endpoint | 192.168.29.250 | 已使用 ICMP ping 测试验证系统之间的连接性，以确保 Agent 与 Manager 之间的通信正常。 # 4. 数据流管道 SIEM 日志管道运行如下： ``` Windows Security Logs ↓ Wazuh Agent ↓ Wazuh Manager ↓ Wazuh Indexer ↓ Wazuh Dashboard ``` 此架构使认证事件能够被摄取、处理并可视化为安全警报。 # 5. 系统验证 为确保 Wazuh 平台的稳定运行： - 增加了 `vm.max_map_count` - 安装了 OpenJDK 17 - 验证了仓库连接性 - 解决了包冲突 服务验证确认了以下服务的成功启动： - wazuh-manager - wazuh-indexer - wazuh-dashboard - filebeat # 6. 攻击模拟 为了测试检测能力，模拟了一个基于凭据的攻击场景。 该攻击遵循了真实的攻击者工作流程。 ``` 4625 Failed Logon Attempts ↓ 4625 Failed Logon Attempts ↓ 4625 Failed Logon Attempts ↓ 4624 Successful Authentication ↓ 4732 User Added to Administrators Group ``` 此序列代表了一种常见的攻击进程： 1. 密码暴力破解 2. 凭据失陷 3. 权限提升 # 7. 检测工程 原始认证事件通过 **自定义 Wazuh 规则** 转化为关联的安全检测。 规则实施于： ``` /var/ossec/etc/rules/local_rules.xml ``` ## 规则 100010 — 凭据失陷检测 检测到暴力破解活动后的成功登录。 ``` 60204 60118 POSSIBLE ACCOUNT COMPROMISE: brute force followed by successful login T1078 ``` 逻辑： * `60204` → 内置暴力破解检测 * `60118` → 成功登录事件 此规则将重复的失败登录与成功的认证进行关联。 ## 规则 100020 — 权限提升检测 检测到失陷后的管理员组修改。 ``` 60154 100010 CRITICAL: Compromised account escalated to local administrator T1098 T1068 ``` 逻辑： * `60154` → 检测管理员组修改的内置规则 * `100010` → 之前检测到的凭据失陷 此规则模拟了完整的攻击链： ``` Compromise → Privilege Escalation ``` # 8. 证据收集 模拟攻击的证据从多个来源收集： * Windows 事件查看器日志 * Wazuh Discover 仪表板 * 警报 JSON 事件视图 * 关联规则警报 这种多源验证确保了检测的准确性。 # 9. 攻击时间线重建 攻击序列使用 Wazuh 警报时间戳进行重建。 | 时间 | 事件 | 描述 | | -------- | ----- | ---------------------------------- | | 12:38:35 | 4625 | 多次登录失败尝试 | | 12:39:05 | 4624 | 登录成功 | | 12:39:24 | 4732 | 用户被添加到管理员组 | 攻击进程： ``` Brute Force ↓ Credential Compromise ↓ Privilege Escalation ↓ Critical SIEM Alert ``` 这证实了关联规则准确地模拟了攻击者的行为。 # 10. MITRE ATT&CK 映射 模拟的行为与以下 MITRE ATT&CK 技术一致。 | 技术 | 描述 | | --------- | -------------------- | | T1110 | 暴力破解 (Brute Force) | | T1078 | 有效账号 (Valid Accounts) | | T1098 | 账号操纵 (Account Manipulation) | | T1068 | 权限提升 (Exploitation for Privilege Escalation) | 攻击链映射： ``` T1110 (Brute Force) ↓ T1078 (Valid Accounts) ↓ T1098 (Account Manipulation) ↓ T1068 (Privilege Escalation) ``` 此映射展示了低级别的认证日志如何转化为攻击者战术。 # 11. 关键学习成果 本实验室提供了以下方面的实践经验： * 理解遥测与检测之间的区别 * 设计多阶段关联规则 * 根据原始主机日志验证 SIEM 警报 * 从安全事件重建攻击时间线 * 将检测映射到 MITRE ATT&CK 技术 该项目演示了如何通过结构化的关联逻辑将认证遥测转化为有意义的检测。

标签：AMSI绕过, ATT&CK框架, PoC, SOC实验室, VirtualBox, Wazuh, Windows安全日志, 关联规则, 凭证泄露, 协议分析, 告警验证, 威胁检测, 家庭实验室, 暴力破解, 权限提升, 管理员页面发现, 网络安全, 隐私保护