Sagarpatel9/wazuh-soc-lab
GitHub: Sagarpatel9/wazuh-soc-lab
基于 Google Cloud 和 Wazuh SIEM 的分阶段 SOC 实验室,提供从部署、检测工程到事件响应的完整安全运营实操指南。
Stars: 0 | Forks: 0
# Wazuh SOC 实验室 – Google Cloud 部署
## 📌 项目概述
本项目记录了使用 **Google Cloud Platform 上的 Wazuh SIEM** 部署**基于云的安全运营中心 (SOC) 实验室**的过程。
该实验室模拟了真实的 SOC 操作,包括:
- SIEM 部署
- 端点监控
- 安全告警检测
- SOC 调查工作流
- MITRE ATT&CK 映射
# 🏗 实验室阶段
## 阶段 1 – SIEM 基础设施部署
在 Google Cloud 上部署 Wazuh manager 并配置安全访问。
文档:
```
day-1-deployment/
```
## 阶段 2 – 端点代理部署
部署 Windows 端点并将其连接到 Wazuh manager。
文档:
```
day-2-agent-deployment/
```
## 阶段 3 – 攻击模拟与检测
模拟攻击者行为并使用 Wazuh SIEM 调查告警。
文档:
```
day-3-attack-simulation/
```
## 阶段 4 – 检测工程
设计并实现自定义的 Wazuh 检测规则,以使用规则链识别特定的攻击者行为。
文档:
```
day-4-detection-engineering/
```
## 阶段 5 – 暴力破解攻击检测
在 Windows 端点上模拟暴力破解登录尝试,并使用 Wazuh SIEM 分析重复的身份验证失败。
本阶段侧重于识别失败的登录模式 (Event ID 4625),验证告警生成,并将该活动映射到 MITRE ATT&CK。
文档:
```
day-5-brute-force-detection/
```
## 阶段 6 – 检测工程与事件关联
设计并实现自定义的 Wazuh 检测规则,通过在定义的时间窗口内关联多个失败的登录事件来识别暴力破解攻击。
本阶段侧重于减少告警噪音,提高检测准确性,并应用 SOC 级别的分析,将多个低级别告警转化为单个高置信度检测。
文档:
```
day-6-detection-analysis/
```
## 阶段 7 – 事件响应与报告
基于检测到的暴力破解攻击执行完整的 SOC 事件响应工作流。
本阶段侧重于:
- 详细调查告警
- 分析事件日志和元数据
- 构建攻击者活动的时间线
- 执行事件响应操作
- 创建结构化的事件报告
文档:
```
day-7-incident-response/
```
# 📂 项目结构
```
wazuh-soc-lab
│
├── README.md
│
├── day-1-deployment
│ ├── architecture.md
│ ├── installation-steps.md
│ ├── initial-validation.md
│ ├── troubleshooting.md
│ └── screenshots
│
├── day-2-agent-deployment
│ ├── installation-steps.md
│ ├── validation.md
│ ├── troubleshooting.md
│ └── screenshots
│
├── day-3-attack-simulation
│ ├── attack-simulation.md
│ ├── investigation.md
│ ├── mitre-mapping.md
│ ├── validation.md
│ └── screenshots
│
├── day-4-detection-engineering
│ ├── custom-rule.md
│ ├── attack-simulation.md
│ ├── validation.md
│ └── screenshots
│
├── day-5-brute-force-detection
│ ├── attack-simulation.md
│ ├── validation.md
│ ├── mitre-mapping.md
│ └── screenshots
│
├── day-6-detection-analysis
│ ├── pattern-analysis.md
│ ├── custom-rule.md
│ ├── validation.md
│ └── screenshots
│
├── day-7-incident-response
│ ├── investigation.md
│ ├── response.md
│ ├── summary.md
│ └── screenshots
```
# 🛠 展示的技能
- 云基础设施部署
- Linux 服务器管理
- SIEM 安装与配置
- 端点监控
- 安全事件分析
- SOC 调查工作流
- MITRE ATT&CK 映射
- 技术文档编写
- 检测工程
- 自定义 SIEM 规则开发 (Wazuh)
- 暴力破解检测与身份验证分析 (Event ID 4625)
- 事件关联与告警降噪
- 暴力破解检测工程 (自定义 Wazuh 规则)
- 基于阈值的检测逻辑 (频率与时间范围)
- 事件响应与 SOC 工作流执行
- 安全事件报告与文档编写
- 告警调查与威胁分析
- 基于时间线的事件分析
# 🎯 本实验室的目的
创建此项目是为了积累以下相关的实践经验:
- SOC 分析师 (Level 1)
- 蓝队运营
- SIEM 管理
- 威胁检测与事件调查
标签:ATT&CK映射, Conpot, GCP, meg, SIEM部署, SOC实验室, SOC工作流, Wazuh, Windows安全, 事件ID 4625, 事件关联分析, 信息安全, 免杀技术, 告警降噪, 安全事件响应, 安全实验室, 安全报告, 安全运营中心, 库, 应急响应, 攻击模拟, 暴力破解检测, 端点安全, 端点监控, 红队行动, 网络安全, 网络映射, 自定义检测规则, 补丁管理, 谷歌云平台, 速率限制处理, 隐私保护, 驱动签名利用