MIBAHNAF/mini-soc-home-lab

# Mini-SOC 家庭实验环境 ## 概述 本项目使用 Wazuh SIEM 模拟一个小型的安全运营中心 (SOC) 环境。 目标是在受控的虚拟实验室中集中日志收集、验证检测能力，并记录事件响应工作流程。 第一阶段侧重于部署 SIEM 基础设施。 ## 实验环境 **Hypervisor:** VMware **SIEM 平台:** Wazuh 4.7.x **服务器操作系统:** Ubuntu 24.04 LTS **网络模式:** NAT (VMnet8) **服务器 IP:** 192.168.152.128 ### Wazuh 服务器虚拟机配置 * 4 vCPUs * ~5 GB RAM * 20 GB 磁盘 ## 第一阶段 – Wazuh SIEM 部署 ### 1. 系统准备 ``` sudo apt update && sudo apt upgrade -y sudo apt install curl unzip net-tools -y ``` ### 2. Wazuh 安装 ``` curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash wazuh-install.sh -a -i ``` 注意： Ubuntu 24.04 未在安装程序支持的操作系统检查列表中正式列出。 在本实验环境中使用了 `-i` 标志来绕过操作系统验证。 ### 3. 服务验证 验证核心服务是否处于活动状态： ``` sudo systemctl status wazuh-manager sudo systemctl status wazuh-indexer sudo systemctl status wazuh-dashboard ``` 确认所有服务正在运行。 ### 4. 端口验证 确认监听端口： * 1514 – Agent 日志采集 * 1515 – Agent 注册 * 55000 – Wazuh API * 443 – Wazuh Dashboard 使用以下命令验证： ``` sudo netstat -tulnp | grep -E "1514|1515|55000|443" ``` ### 5. 访问 Dashboard 通过以下方式访问 Dashboard： ``` https://192.168.152.128 ``` 使用生成的管理员凭据成功通过身份验证。 初始状态： * Agent 总数: 0 * 活跃 Agent: 0 * 断开连接的 Agent: 0 ## 当前状态 Wazuh SIEM 基础设施已成功部署并运行。 下一阶段： * 部署 Windows 终端虚拟机 * 安装 Wazuh agent * 验证 Windows Event Log 采集 * 开始检测工程 ## 本项目展示了 * 企业级 SIEM 部署 * Linux 服务管理 * 网络端口验证 * TLS Dashboard 配置 * 虚拟化最佳实践 * 排查操作系统兼容性问题

标签：AMSI绕过, HTTP工具, IP 地址批量处理, Linux服务器, VMware, Wazuh, Wazuh 4.7, 企业安全, 威胁检测, 安全运营中心, 安全部署, 家庭实验室, 库, 应急响应, 开源SIEM, 日志集中化, 管理员页面发现, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 虚拟化环境, 隐私保护