Samuel267772/Wazuh-SIEM-Security-Lab

# Wazuh SIEM 与端点安全实验室 ## 概述 本项目演示了如何使用 **Wazuh** 部署 **安全信息与事件管理 (SIEM)** 解决方案，以便在虚拟实验室环境中监控、检测和分析安全事件。 该实验室使用 **Kali Linux** 模拟现实世界的网络攻击场景，同时通过 **Wazuh Manager 和 Dashboard** 收集和分析日志。 本项目的目标是利用开源 SIEM 平台理解 **安全监控、威胁检测和日志分析**。 # 架构  实验室组件： - **Wazuh Manager (Ubuntu Server)**\ 集中式日志收集、分析和告警生成。 - **Ubuntu 端点 (Wazuh Agent)**\ 将系统日志和安全事件发送到 Wazuh Manager。 - **Kali Linux (攻击机)**\ 用于模拟网络攻击，例如端口扫描和暴力破解尝试。 # 实验环境 机器 角色 操作系统 Wazuh Server Manager & Dashboard Ubuntu Server Endpoint Wazuh Agent Ubuntu Attacker Attack Simulation Kali Linux 虚拟化平台： VirtualBox # 功能特性 - 集中式日志监控 - 实时安全告警 - 使用 Wazuh agents 进行端点监控 - 检测暴力破解攻击 - 端口扫描检测 - 通过仪表板可视化安全事件 # 工具与技术 - Wazuh SIEM - VirtualBox - Ubuntu Linux - Kali Linux - Nmap - Hydra - Linux CLI # 安装指南 详细的设置说明可在以下位置找到： ``` setup-guide.md ``` 该指南涵盖： - 安装 Wazuh manager - 安装和配置 Wazuh agents - 将 agents 连接到 manager - 访问 Wazuh dashboard - 生成安全事件 # 攻击模拟 以下攻击是从 Kali Linux 机器模拟的。 ### 端口扫描 ``` nmap -sS ``` ### SSH 暴力破解攻击 ``` hydra -l user -P passwords.txt ssh:// ``` 这些活动在 **Wazuh dashboard** 中生成了告警，展示了实时检测能力。 # 观察到的安全告警 实验期间生成的告警示例： - SSH 认证失败 - 多次登录尝试（暴力破解） - 端口扫描活动 - 可疑的系统行为 # 展示的技能 - SIEM 部署与配置 - 日志监控与分析 - 威胁检测 - 安全事件调查 - Linux 系统管理 - 网络安全监控 # 项目成果 成功构建了一个 **功能齐全的 SIEM 实验室环境**，能够使用 Wazuh 检测和分析模拟的网络攻击。 本项目展示了对 **安全监控、攻击检测和事件分析** 的实践经验。 # 作者 Samuel Kumar\ 网络安全爱好者 \| 网络安全 \| SIEM \| 渗透测试

标签：AMSI绕过, CTI, Linux 安全, OISF, PoC, Python3.6, SSH 攻击, TGT, VirtualBox, Wazuh, 威胁检测, 安全仪表盘, 安全实验环境, 安全运营, 对抗机器学习, 扫描框架, 插件系统, 攻防演练, 数据统计, 日志管理, 暴力破解, 端口扫描, 端点监控, 红队行动, 网络安全, 隐私保护