FernandoMurillo1/Wazuh-SIEM-Home-Lab---Security-Monitoring-and-Threat-Detection-

# Wazuh SIEM 家用实验室 — 安全监控与威胁检测 ## 概述 使用 Wazuh 部署了一个功能齐全的安全信息和事件管理（SIEM）平台，以模拟 SOC 监控环境。该实验室监控 Windows 终端，以检测现实世界的攻击模式，包括暴力破解尝试、无文件恶意软件执行和未经授权的文件系统更改。 **使用的工具：** Wazuh SIEM · Ubuntu 服务器 · Windows 10 · PowerShell · VirtualBox/Parallels · Syslog · Windows 事件日志 ## 实验室架构 该环境使用虚拟机构建，以模拟一个小型企业网络。 Mac 主机 │ ├── Ubuntu 服务器 │ └── Wazuh SIEM │ • Wazuh 管理器 │ • Wazuh 索引器 │ • Wazuh 仪表板 │ └── Windows 终端 └── Wazuh 代理 • Windows 事件日志 • PowerShell 监控 • 文件完整性监控 ## 部署过程 SIEM 实验室使用 Ubuntu 服务器作为 Wazuh 管理器进行部署。 步骤包括： 1. 安装 Wazuh 管理器、索引器和仪表板 2. 配置虚拟机之间的网络 3. 在 Windows 终端上安装 Wazuh 代理 4. 将代理注册到 Wazuh 服务器 5. 验证 Wazuh 仪表板中的日志摄取 ## 检测场景 ### 1. 身份验证失败检测（事件 ID 4625） 模拟重复的失败登录尝试以触发暴力破解检测规则。 **Wazuh 检测到的内容：** 来自同一来源的多个事件 ID 4625 失败，触发了一个高严重性警报，表明可能存在暴力破解或凭据填充攻击。  ### 2. PowerShell 执行监控 执行可疑的 PowerShell 命令以模拟无文件恶意软件行为。 **使用的命令：** ``` powershell -ExecutionPolicy Bypass -Command "Get-Process" ``` **Wazuh 检测到的内容：** 脚本块日志捕获了执行并生成了一个警报。当通过 PowerShell 创建新用户账户时，触发了第二个警报，模拟了权限提升活动。  ### 3. 文件完整性监控（FIM） 配置 Wazuh FIM 以监控关键系统目录的未经授权的文件更改。 **Wazuh 检测到的内容：** 当监控目录中添加新文件时，触发了规则 554，模拟了恶意软件安装或未经授权的数据暂存。  ### 4. 恶意软件检测 模拟恶意软件活动并在 Wazuh 仪表板上观察检测。  ## 检测管道 SIEM 通过以下管道处理安全事件： 终端活动 ↓ Wazuh 代理 ↓ Wazuh 管理器 ↓ Wazuh 索引器 ↓ Wazuh 仪表板 当事件与检测规则匹配时，会生成安全警报。 ## 展示的技能 - 在 Ubuntu 和 Windows 上部署 Wazuh SIEM 和代理配置 - Windows 安全事件日志分析（事件 ID 4624、4625、4732） - PowerShell 脚本块日志和无文件恶意软件检测 - 文件完整性监控（FIM）规则配置 - 警报分类和安全事件文档 - Linux 服务器管理和 VM 网络配置 ## 作者 **Luis Fernando Murillo** CompTIA Security+ | CySA+ | Network+ | A+ [LinkedIn](https://www.linkedin.com/in/luis-murillo1) · [GitHub](https://github.com/FernandoMurillo1)

标签：AI合规, AMSI绕过, IPv6, PoC, PowerShell, SOC 模拟, Wazuh, Windows 事件日志, x64dbg, 威胁检测, 安全信息与事件管理, 安全响应, 安全实验室, 搜索引擎爬取, 无文件恶意软件, 暴力破解, 生成式AI安全, 红队行动, 虚拟化, 虚拟机, 速率限制