Bhuvanat76/Wazuh-SIEM-Home-Lab-for-Threat-Detection-and-Security-Monitoring

## **🛡️ 用于威胁检测和安全监控的 Wazuh SIEM 家庭实验室** #### #### 📌 项目概述 本项目旨在利用企业级端点检测与响应 (EDR) 架构构建一个安全运营中心 (SOC) 监控环境。 目标是实时监控端点，检测可疑活动，并分析安全事件以进行威胁狩猎和事件响应。 该实验室模拟了一个真实的企业监控环境，其中端点持续将遥测数据发送到集中的 Wazuh SIEM 平台。 目的是将 Windows 端点与集中的 Wazuh 服务器集成，以收集日志、监控系统活动并检测潜在的安全威胁。 **🎯 项目目标** 在 Ubuntu Server 上部署 Wazuh SIEM 配置安全的仪表板访问 使用 Wazuh Agent 连接 Windows 端点 建立集中式日志监控 构建威胁检测和分析基础 🏗️ 实验架构 Windows 10 Endpoint (Wazuh Agent)   │   │ Logs \& Events   ▼ Ubuntu Server (Wazuh Manager + Indexer + Dashboard) 🧰 所用技术 Wazuh 4.7.5 Ubuntu Linux Windows 10 VM VirtualBox OpenSearch (Wazuh Indexer) Filebeat #### **📅 第一周 — SIEM 部署与 Agent 集成** 已完成的任务 安装了 Wazuh all-in-one 部署 配置了 Wazuh Dashboard 建立了内部 VM 网络 在 Windows 端点上安装了 Wazuh agent 注册并认证了 agent 验证了端点与 SIEM 之间的通信 🌐 网络配置 Machine Role IP Address Ubuntu VM Wazuh Server 192.168.100.10 Windows VM Endpoint Agent 192.168.100.20 **✅ 第一周成果** 功能正常的 SIEM 环境已部署 端点成功接入 实时监控已建立 实验室已准备好进行高级遥测数据收集 #### **📅 第二周 — 使用 Sysmon 进行端点遥测** **目标** 第二周的目标是通过在 Windows 端点上部署 Sysmon (System Monitor) 并将其遥测数据与 Wazuh SIEM 平台集成，来增强端点的可见性。 Sysmon 提供了对进程执行、网络连接和文件修改等系统活动的详细日志记录，从而能够在 SOC 实验室环境中进行更深层次的安全监控。 **Sysmon 安装** 在 Windows 端点上安装了来自 Microsoft Sysinternals Suite 的 Sysmon。 安装命令： Sysmon64.exe -i -accepteula 验证命令： Get-Service sysmon64 预期输出： Status : Running 这确认了 Sysmon 服务已成功安装在 Windows 系统上并处于活动状态。 Sysmon 配置部署 为了启用高级监控功能，应用了 SwiftOnSecurity Sysmon 配置。 使用的命令： Sysmon64.exe -c sysmonconfig-export.xml 成功输出： Configuration file validated Configuration updated Sysmon 事件日志记录 配置后，Sysmon 会在 Windows Event Viewer 中记录详细的系统活动。 **事件位置：** Event Viewer → Applications and Services Logs → Microsoft → Windows → Sysmon → Operational 受监控活动的示例包括： 进程创建 命令行执行 网络连接 文件创建事件 注册表修改 持久化技术 可疑的系统活动 与 Wazuh SIEM 集成 安装在 Windows 端点上的 Wazuh agent 持续监控 Windows Event Logs，包括 Sysmon 事件。 这些日志被转发到运行在 Ubuntu 上的 Wazuh 服务器，并在仪表板中进行索引和可视化。 **事件流水线：** Windows Endpoint   ↓ Sysmon Event Logging   ↓ Windows Event Logs   ↓ Wazuh Agent   ↓ Wazuh Manager   ↓ Wazuh Indexer (OpenSearch)   ↓ Wazuh Dashboards **Wazuh 中的安全事件** 集成 Sysmon 后，Windows 系统上生成的安全事件开始出现在 Wazuh 仪表板中。 可以在以下位置查看事件： Modules → Security Events 观察到的事件包括： Windows 服务配置更改 身份验证活动 系统进程事件 Windows 数据库恢复操作 这些警报自动与 MITRE ATT\&CK 技术相关联，为潜在的攻击者行为提供了上下文。 **✅ 第二周成果** 部署 Sysmon 以获取高级端点遥测数据 将 Sysmon 日志与 Wazuh SIEM 集成 集中式安全事件监控 通过 Wazuh 仪表板可视化端点活动 对检测到的事件进行初步 MITRE ATT\&CK 映射 此设置为第三周的威胁模拟和攻击检测活动奠定了基础。 #### **📅 第三周 — 暴力破解检测与主动响应探索** **目标** 第三周的目标是在 Windows 端点上模拟凭证暴力破解攻击，并观察 Wazuh 如何使用其内置的关联规则检测可疑的身份验证活动。 此阶段侧重于安全事件检测和 SOC 监控，验证 SIEM 平台能否识别恶意登录模式。 **配置** 通过更新 Wazuh manager 配置文件，探索了 Wazuh 内的 Active Response 功能： /var/ossec/etc/ossec.conf **示例配置：**   firewall-drop   firewall-drop   yes   firewall-drop   local   60204   600 更新配置后，重启了 Wazuh manager 服务： sudo systemctl restart wazuh-manager **攻击模拟** 通过生成多次失败的登录尝试，在 Windows 端点上模拟了暴力破解身份验证场景。 **使用的命令：** runas /user:FakeUser cmd 重复输入错误的凭证以在 Windows 日志中产生身份验证失败事件。 在 Wazuh 中检测 Wazuh 成功检测到可疑的登录活动并生成了安全警报。 Field Value Rule ID 60204 Description Multiple Windows logon failures Alert Level 10 MITRE Technique T1110 这些警报表明 Wazuh 识别出了通常与暴力破解攻击相关的重复身份验证失败。 MITRE ATT\&CK 映射 检测到的活动被映射到 MITRE ATT\&CK 框架： T1110 — Brute Force **战术类别：** Credential Access 安全监控 **Wazuh 仪表板提供了对以下内容的可见性：** 身份验证失败警报 攻击技术分类 警报严重级别 端点活动时间线 这些功能使 SOC 分析师能够快速识别异常行为并调查安全事件。 **主动响应说明** 在此实验室环境中，攻击源自受监控的同一 Windows 端点。 因此，Wazuh 没有执行防火墙阻止操作，以避免中断 agent 与 manager 之间的通信。 然而，检测和警报生成工作正常，证明了 Wazuh 检测暴力破解活动的能力。 ✅ 第三周成果 Task Status Brute Force Attack Simulation ✅ Completed Authentication Failure Detection ✅ Completed Wazuh Alert Generation ✅ Completed MITRE ATT\&CK Mapping ✅ Completed 第三周成功演示了 Wazuh 如何检测基于凭证的攻击并在 SOC 监控环境中生成可操作的安全警报。 #### **📅 第四周 — 威胁模拟与检测分析** **🎯 目标** 第四周的目标是在受监控的 Windows 端点上模拟真实世界的攻击者技术，并观察 Wazuh SIEM 平台如何检测和分类恶意活动。 此阶段侧重于威胁模拟和安全事件分析，演示安全监控系统如何检测可疑命令并将其映射到 MITRE ATT\&CK 框架。 **⚔️ 攻击模拟** 在 Windows 端点上执行了攻击者常用的几个命令以模拟恶意活动。 **PowerShell 命令执行** * powershell -ExecutionPolicy Bypass -Command "whoami" 此命令模拟了后渗透活动中经常使用的可疑 PowerShell 执行。 **账户发现** * net user 此命令枚举系统上的用户账户，攻击者通常在入侵的侦察阶段执行此操作。 系统信息发现 whoami 此命令识别当前登录的用户，攻击者经常使用它来了解权限级别。 **🔎 在 Wazuh 中检测** 执行这些命令后，Wazuh 在仪表板中生成了安全警报，指示端点上的可疑活动。 警报可见于： Modules → Security Events Wazuh 分析了收集的日志并将其与已知的攻击模式相关联。 🧠 MITRE ATT\&CK 映射 模拟的攻击者活动被映射到以下 MITRE ATT\&CK 技术： Technique Description T1059 Command and Scripting Interpreter (PowerShell) T1087 Account Discovery T1082 System Information Discovery T1110 Brute Force (Week 3 simulation) 这些映射为安全分析师提供了有关攻击者行为和策略的上下文。 📊 安全监控 Wazuh 仪表板可视化了生成的警报，并提供了对以下内容的洞察： 可疑命令执行 攻击者发现技术 身份验证失败事件 警报严重级别 端点活动时间线 这使分析师能够快速检测并调查异常的系统活动。 🧪 威胁模拟工作流 Attacker Commands Executed   ↓ Windows Event Logs Generated   ↓ Wazuh Agent Collects Logs   ↓ Wazuh Manager Processes Events   ↓ Wazuh Indexer Stores Alerts   ↓ Wazuh Dashboard Displays Security Events 此工作流演示了端点遥测数据如何流经 SIEM 平台以生成可操作的安全警报。 ✅ 第四周成果 Task Status PowerShell Attack Simulation ✅ Completed Discovery Command Execution ✅ Completed Wazuh Alert Detection ✅ Completed MITRE ATT\&CK Technique Mapping ✅ Completed 第四周成功演示了 Wazuh 如何检测攻击者行为并将系统活动与已知的对抗技术相关联。 #### **🏁 项目总结** 本项目成功使用 Wazuh SIEM 平台实施了一个安全运营中心 (SOC) 监控实验室。 在为期四周的过程中，该环境从基础架构部署发展到高级威胁检测和攻击模拟。 项目的主要成就包括： * 部署功能完备的 Wazuh SIEM 环境 * 使用 Sysmon 集成具有高级遥测功能的 Windows 端点 * 通过安全事件关联检测可疑活动 * 模拟真实的攻击者技术以测试监控能力 * 通过 Wazuh 仪表板可视化安全警报 * 将检测到的活动映射到 MITRE ATT\&CK 框架 * 该实验室演示了 SIEM 平台如何协助安全分析师监控系统、检测攻击和调查潜在的安全事件。 * 该项目提供了 SOC 工作流程、端点监控、威胁检测和安全事件分析方面的实践经验，这些是现代网络安全运营中的必备技能。

标签：AMSI绕过, EDR, Filebeat, Sysmon, VirtualBox, Wazuh, Windows 10, 企业安全架构, 威胁检测, 安全可视化, 安全运营中心, 实验环境, 居家实验室, 端点检测与响应, 红队行动, 网络安全, 网络映射, 脆弱性评估, 脱壳工具, 虚拟化, 速率限制, 隐私保护