AqibTayyab/Cybersecurity-Home-Lab-4-Portfolio-2026

GitHub: AqibTayyab/Cybersecurity-Home-Lab-4-Portfolio-2026

基于 Wazuh SIEM 平台的网络安全家庭实验室作品集，演示了自动化漏洞扫描、CVE 关联分析和 SOC 威胁狩猎的完整工作流程。

Stars: 0 | Forks: 0

# 网络安全家庭实验室 4 作品集 2026 欢迎来到我的网络安全实战作品集。本仓库记录了我完成一个 4 项目强化实验室的历程，该实验室旨在培养真实世界的 SOC（安全运营中心）技能。 **创建者：** [Muhammad Aqib Tayyab](https://www.linkedin.com/in/muhammad-aqib-tayyab-ethical-hacker/) **灵感来源：** [The Social Dork (Royden Rahul Rebello)](https://www.youtube.com/@thesocialdork1133) ### 技术栈与工具 ![Ubuntu](https://img.shields.io/badge/Ubuntu-E94331?style=for-the-badge&logo=ubuntu&logoColor=white) ![Kali Linux](https://img.shields.io/badge/Kali_Linux-557EBF?style=for-the-badge&logo=kali-linux&logoColor=white) ![Docker](https://img.shields.io/badge/Docker-2496ED?style=for-the-badge&logo=docker&logoColor=white) ![VirtualBox](https://img.shields.io/badge/VirtualBox-183A61?style=for-the-badge&logo=virtualbox&logoColor=white) ![VMware](https://img.shields.io/badge/VMware-1470AF?style=for-the-badge&logo=vmware&logoColor=white) ![Wazuh](https://img.shields.io/badge/Wazuh-00A9E0?style=for-the-badge&logo=wazuh&logoColor=white) ### 掌握的技能 * **基础设施：** 虚拟网络（桥接/NAT），Linux 管理（Ubuntu/Kali）。 * **防御性安全：** WAF 配置，反向代理设置，负载均衡。 * **进攻性安全：** SQL 注入（SQLi）测试，Payload 构建。 * **安全运营：** SIEM 部署（Wazuh），日志分析，实时威胁检测。 * **DevOps：** 使用 Docker 和 Docker-Compose 进行容器化。 ## 项目 4：自动化事件响应与主动缓解 ### **目标** 在 SIEM 环境中配置并验证自动化事件响应机制，特别是利用 Wazuh 的 Active Response 功能来实时检测、告警并阻断暴力破解攻击。 ### **实验室架构** * **攻击者：** Kali Linux（执行攻击脚本）。 * **防御者/SIEM：** Ubuntu 25.10（托管 Wazuh Dashboard 和 Manager）。 * **目标：** 受管端点机器（IP：192.168.150.172）。 ### **分步技术实施** 1. **Active Response 配置（自动化防御）** 编辑 Manager 的全局配置文件以定义缓解逻辑： ``` sudo nano /var/ossec/etc/ossec.conf ``` 注入以下 `````` 块，以便在检测到规则 ID 5712（多次 SSH 身份验证失败）时触发防火墙拒绝规则： ``` firewall-drop local 5712 600 ``` 2. **漏洞扫描器配置** 更新同一个 ossec.conf 文件中已弃用的 schema 标签，以初始化引擎并与 Canonical OVAL feeds 同步： ``` yes

yes

yes 24.04 [https://security.ubuntu.com/oval/com.ubuntu.noble.cve.oval.xml](https://security.ubuntu.com/oval/com.ubuntu.noble.cve.oval.xml) ``` 3. **服务重启与数据库验证** 重启 Wazuh Manager 以应用新的安全配置： ``` sudo systemctl restart wazuh-manager ``` 通过 Manager 的内部日志验证漏洞数据库的下载和初始化： ``` sudo tail -f /var/ossec/logs/ossec.log | grep -i "vulnerability" ``` 检查本地 SQLite 数据库以确认 CVE 索引： ``` sqlite3 /var/ossec/queue/vulnerabilities/cve.db "SELECT count(*) FROM vulnerabilities;" ``` 4. **攻击模拟与事件缓解** 从 Kali Linux 攻击机针对 Ubuntu 端点执行快速 SSH 暴力破解攻击： ``` ssh aqib@192.168.---.-- ``` 连续认证失败超过 8 次，以触发 Level 10 的 SIEM 规则。 5. **取证验证** 在 Ubuntu 防御机器上的 active response 日志中验证自动封禁的执行情况： ``` sudo cat /var/ossec/logs/active-responses.log ``` 输出确认 ```firewall-drop.sh``` 脚本已成功将 Kali 的 IP 添加到 iptables 拒绝列表中。确认 Kali 机器上的网络阻断（连接已终止）： ``` kex_exchange_identification: read: Connection reset by peer Connection reset by 192.168.150.172 port 22 ``` ### **关键成果** * **实时缓解：** 在毫秒级内成功阻断了一次活跃的 SSH 暴力破解攻击，强制连接重置，证明了自动化事件响应的有效性。 * **零接触扫描：** 建立了持续的、自动化的漏洞基线，无需依赖手动的凭据扫描。 * **全栈可见性：** 完善了 SOC 基础设施，证明具备监控日志（实验 2）、检测异常（实验 3）和执行自动化网络防御（实验 4）的能力。 ### 📞 联系与社交 **开放 SOC 分析师和网络安全实习机会。让我们建立联系！** * **LinkedIn:** [Muhammad Aqib Tayyab](https://www.linkedin.com/in/muhammad-aqib-tayyab-ethical-hacker/) * **YouTube:** [MuhammadAqibTayyab](https://www.youtube.com/@MuhammadAqibTayyab)

标签：CISA项目, Claude, CVE检测, Docker, GitHub Advanced Security, SQL注入测试, WAF配置, Wazuh, 免杀技术, 安全加固, 安全运营中心, 安全防御评估, 家庭实验室, 暴力破解检测, 网络安全, 网络安全实验环境, 网络映射, 自动化响应, 虚拟化, 请求拦截, 速率限制, 隐私保护