Rylandale515/siem-security-monitoring-lab

# SIEM 安全监控实验室 ### WGU 毕业设计项目 – Rylan Stalnaker ## 概述 本项目专注于在受控的虚拟实验室环境中，使用 **Wazuh** 设计、实施和评估集中式安全信息和事件管理 (SIEM) 解决方案。 该项目的目的是演示在小型组织环境中，集中式日志监控如何提升安全可见性、检测可疑行为并支持更快速的事件响应。 该环境包括： - 运行 Wazuh SIEM 平台的 **Ubuntu 服务器** - 安装了 Wazuh 代理的 **Windows 端点** - 安装了 Wazuh 代理的 **Linux 端点** - **私有 NAT 虚拟网络**，用于将测试与外部系统隔离 部署完成后，生成并记录了基线活动。随后模拟了受控的可疑和恶意行为，以评估 SIEM 是否能够检测并记录异常活动。 ## 关键成果概览 - 集中式 Wazuh SIEM 部署 - Windows 和 Linux 端点监控 - 模拟暴力破解和权限提升行为 - 与 MITRE ATT&CK 对齐的分析 - 事件报告和响应文档 ## 技术成果 本代码库包含该项目的相关技术成果： - [架构图](diagrams/siem-lab-architecture.png) - [事件分析报告](writeups/incident-analysis-report.md) - [攻击模拟记录](writeups/attack-simulations.md) - [实验室设置文档](writeups/lab-setup.md) ## 项目目标 本毕业设计项目的主要目标是在模拟的小型企业环境中设计和评估基于 SIEM 的安全监控系统。 ### 目标 - 构建安全的隔离虚拟实验室环境 - 部署和配置集中式 Wazuh SIEM 服务器 - 将 Windows 和 Linux 端点连接到 SIEM - 生成基线用户活动，用于正常行为对比 - 在端点上模拟可疑和恶意操作 - 分析 SIEM 告警并评估检测有效性 - 演示集中式监控如何支持安全运营 ## 实验室环境 ### 虚拟化基础设施 - **宿主机平台：** Ubuntu 宿主系统 - **虚拟化：** 使用 `virt-manager` 的 QEMU/KVM - **网络类型：** 基于 NAT 的私有虚拟网络 (`siem-lab-net`) ### 部署的系统 - **Wazuh 服务器：** Ubuntu 服务器 - **端点 1：** Windows 工作站 - **端点 2：** Ubuntu Linux 工作站 Wazuh 服务器充当集中式的收集和分析平台，而两个端点均使用 Wazuh 代理转发日志和事件。 ## 使用的工具和技术 - **Wazuh** - **Ubuntu 服务器** - **Windows** - **Linux** - **QEMU/KVM** - **virt-manager** - **NAT 虚拟网络** - **MITRE ATT&CK 框架** ## 模拟安全事件 模拟并监控了以下与安全相关的活动： - 反复的登录失败尝试 - 反复失败后的成功登录 - 防火墙禁用和重新启用 - 用户创建和管理员组更改 - 敏感位置的文件修改 - 文件权限和配置更改 这些模拟用于测试 SIEM 是否能够识别并暴露可疑行为以供分析。 ## 主要发现 Wazuh SIEM 成功检测并记录了 Windows 和 Linux 端点上多个类别的可疑活动。 ### 观察到的检测领域 - 身份验证异常 - 权限提升行为 - 系统配置更改 - 账户管理活动 - 文件完整性和修改事件 该项目表明，集中式日志监控改善了以下方面： - 跨系统可见性 - 异常活动的检测 - 事件调查能力 - 整体安全态势 即使在一个小型实验室环境中，SIEM 也提供了有意义的见解，能够支持现实世界中的 SOC 工作流。 ## 事件分析示例 一个模拟场景涉及对 Windows 端点的多次登录失败尝试，随后是成功登录。 这种模式类似于暴力破解身份验证尝试。SIEM 生成了与身份验证相关的告警，使得识别以下内容成为可能： - 受影响的端点 - 目标账户 - 短时间内的多次失败尝试 - 多次失败后成功登录的证据 从 SOC 的角度来看，此类告警将有助于快速调查、账户审查和响应行动，如密码重置、账户锁定或来源验证。 ## MITRE ATT&CK 相关性 选定的模拟行为被映射到 **MITRE ATT&CK 框架** 中的概念，以演示 SIEM 告警如何支持结构化的安全分析。 这有助于将实验室活动与现实世界的攻击技术联系起来，并提供了更深入的事件分析视角。 ## 展示的技能 本项目有助于展示以下方面的实践经验： - SIEM 部署和配置 - 集中式日志收集 - 端点监控 - 安全事件分析 - 告警调查 - 事件检测 - 攻击模拟 - 安全文档编写 - MITRE ATT&CK 映射 - SOC 风格的工作流思维 ## 代码库结构 ``` siem-security-monitoring-lab/ ├── README.md ├── docs/ ├── screenshots/ ├── diagrams/ ├── writeups/ └── resume-reference/ ``` ## 为什么这个项目很重要 小型组织通常缺乏企业级安全工具的预算和人员，但它们依然面临严重的网络安全风险。本项目演示了像 Wazuh 这样的开源 SIEM 解决方案如何以经济高效的方式提供有意义的安全监控和检测能力。 这个毕业设计项目也展示了我的知识储备，并反映了我在以下领域的兴趣： - 安全运营中心 (SOC) 工作 - 事件检测和响应 - 防御性安全 - 安全监控和告警分析 ## 作者 **Rylan Stalnaker** 网络安全与信息保障专业毕业生 西部州长大学 GitHub: Rylandale515 LinkedIn: Rylan Stalnaker ([点击这里](https://www.linkedin.com/in/rylan-stalnaker-6ba923180/)) ### 免责声明 本项目是在受控的虚拟实验室环境中开发的，仅供教育目的使用。 未使用任何生产系统或未授权目标。

标签：AMSI绕过, Cloudflare, CSV导出, Linux终端, MITRE ATT&CK, NAT虚拟网络, PoC, Ubuntu服务器, Wazuh, Windows终端, x64dbg, 协议分析, 威胁检测, 安全事件分析, 安全可视化, 安全监控实验室, 恶意行为模拟, 暴力破解, 权限提升, 毕设项目, 系统部署与配置, 红队行动, 网络安全, 虚拟实验室, 隐私保护, 集中式日志管理