Kushagra-Gupta-755/Home-SOC-Lab-Wazuh
GitHub: Kushagra-Gupta-755/Home-SOC-Lab-Wazuh
基于Wazuh SIEM构建的家庭SOC实验室,提供端点监控、日志分析、漏洞检测和攻击检测的完整安全运营实践环境。
Stars: 0 | Forks: 0
# 使用 Wazuh SIEM 搭建家庭 SOC 实验室
## 项目概述
本项目展示了一个基于 **Wazuh SIEM 平台**构建的**家庭安全运营中心 (SOC) 实验室**。该实验室模拟了一个受监控的网络环境,用于收集、分析端点日志,并检测可疑活动。
本项目的目标是在虚拟环境中积累 **SIEM 部署、端点监控、日志分析、威胁检测和安全事件调查**方面的经验。
## 主要功能
- 使用 **Wazuh** 进行 SIEM 部署
- 使用 **Wazuh Agent** 进行端点监控
- **文件完整性监控 (FIM)** 以检测文件变动
- **Windows 安全日志监控**
- **PowerShell 活动监控**
- **防火墙日志监控与网络扫描检测**
- 使用 Wazuh 的漏洞模块进行**漏洞检测**
- **威胁狩猎与安全事件调查**
## 实验室架构
实验室环境由运行在虚拟网络内的三台虚拟机组成。
| 机器 | 角色 |
|--------|------|
| Kali Linux | 用于模拟攻击的攻击机 |
| Windows 11 | 运行 Wazuh Agent 的受监控端点 |
| Ubuntu Server | Wazuh SIEM 服务器 |
```
+---------------------+
| Kali Linux |
| Attacker Machine |
| (Nmap Scan) |
+----------+----------+
|
| Attack Traffic
v
+---------------------+
| Windows 11 |
| Endpoint |
| Wazuh Agent |
+----------+----------+
|
| Security Logs
v
+---------------------+
| Ubuntu VM |
| Wazuh Server |
| Manager + Indexer |
| Dashboard |
+---------------------+
|
v
SOC Monitoring
Dashboard
```
## 安全监控功能
- **SIEM 部署:** 部署 Wazuh SIEM 平台,提供集中式日志监控和安全事件分析。
- **端点监控:** 使用 Wazuh Agent 监控 Windows 端点,该 Agent 收集系统日志并将其发送到 SIEM 服务器。
- **文件完整性监控:** 实时监控选定目录,以检测文件创建、修改和删除事件。
- **Windows 日志监控:** 收集和分析重要的 Windows 日志,包括:安全日志、系统日志、应用程序日志、PowerShell 运营日志、Windows 防火墙日志
- **网络扫描检测:** 使用 Kali Linux 攻击机上的 Nmap 模拟网络侦察活动。Wazuh 检测到了由扫描产生的重复防火墙拦截事件。
- **漏洞检测:** Wazuh 扫描已安装的软件,并利用 CVE 数据库识别已知漏洞。
- **威胁狩猎:** 可以使用 Wazuh 仪表板调查安全警报,分析日志数据、规则触发情况和事件详情。
## SOC 检测工作流
攻击模拟 (Kali Linux) → 端点活动 (Windows 11) → 日志收集 (Wazuh Agent) → 日志分析 (Wazuh SIEM) → 安全警报 (Wazuh Dashboard) → 威胁调查
## 使用的技术
- **Wazuh SIEM**
- **VMware Workstation**
- **Ubuntu Server**
- **Windows 11**
- **Kali Linux**
- **Nmap**
## 项目文档
关于本项目的详细说明,包括实验室设置、攻击模拟、检测工作流和故障排除步骤,可在完整的博客文章中查看:
**Medium 文章:** https://medium.com/@kushagragupta7/building-a-home-soc-lab-with-wazuh-siem-acb44c6f4091
## 作者
[**Kushagra Gupta**](https://www.linkedin.com/in/kushagra-gupta-a1b6b4291/)
mail2kush13@gmail.com
标签:BurpSuite集成, CTI, HTTP/HTTPS抓包, PowerShell监控, SOC实验室, Wazuh, Windows 11, x64dbg, 威胁搜寻, 安全实验环境, 安全运营中心, 家庭实验室, 态势感知, 插件系统, 攻击模拟, 端点监控, 网络安全, 网络安全审计, 网络映射, 隐私保护, 驱动签名利用