hazwanjaafar/Open-Source-SIEM-Stack

# Open-Source-SIEM-Stack SOC 家庭实验室，使用 Wazuh (SIEM)、Graylog (日志管理) 和 OpenCTI (威胁情报) 等开源工具。在受控环境中获得了实施检测规则、监控安全事件和响应事件的实践经验，模拟了网络安全运营的现实场景。 # SOC 家庭实验室 一个使用开源工具构建的安全运营中心 (SOC) 家庭实验室，用于获取网络安全实践经验。该实验室模拟了威胁检测、日志管理、威胁情报和事件响应的真实场景。 ## 概述 本家庭实验室集成了以下开源工具，以复制生产级的 SOC 环境： | 工具 | 角色 | |---|---| | [Wazuh](https://wazuh.com/) | SIEM & XDR | | [Graylog](https://www.graylog.org/) | 日志管理 | | [Grafana](https://grafana.com/) | 仪表板与可视化 | | [OpenCTI](https://github.com/OpenCTI-Platform/opencti) | 威胁情报平台 | | [MISP](https://github.com/MISP/MISP) | 恶意软件信息共享平台 | | [IRIS](https://github.com/dfir-iris/iris-web) | 事件响应平台 | | [Velociraptor](https://github.com/Velocidex/velociraptor) | 数字取证与端点可见性 | | [Shuffle](https://shuffler.io/) | 安全编排、自动化与响应 (SOAR) | | [InfluxDB](https://github.com/influxdata/influxdb) | 时序指标数据库 | | [pfSense](https://www.pfsense.org/) | 防火墙与网络安全 | | [Sysmon](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) | Windows 系统活动监控 | ## 架构 ``` +------------------+ | pfSense | | (Firewall/IDS) | +--------+---------+ | +-------------------+-------------------+ | | +----------+----------+ +-----------+-----------+ | Windows Endpoints | | Linux Endpoints | | (Sysmon + Wazuh) | | (Wazuh Agent) | +----------+----------+ +-----------+-----------+ | | +-------------------+-------------------+ | +--------+---------+ | Wazuh Manager | | (SIEM / XDR) | +--------+---------+ | +-------------------+-------------------+ | | | +----------+-----+ +---------+------+ +--------+-------+ | Graylog | | InfluxDB | | OpenCTI | | (Log Manager) | | (Metrics DB) | | (Threat Intel) | +----------+-----+ +---------+------+ +--------+-------+ | | | | +--------+---------+ | | | Grafana | | | | (Visualization) | | | +------------------+ | | | +----------+-----+ +---------+------+ | Shuffle | | MISP | | (SOAR) | | (Intel Sharing)| +----------+-----+ +---------+------+ | +----------+-----+ | IRIS | | (IR Platform) | +----------------+ ``` ## 工具 ### Wazuh — SIEM & XDR [https://wazuh.com/](https://wazuh.com/) Wazuh 作为核心的 SIEM (安全信息和事件管理) 和 XDR (扩展检测与响应) 平台。它收集、聚合并分析来自所有端点的安全事件。 **使用的主要功能：** - 来自 Windows 和 Linux 主机的基于 Agent 的日志收集 - 文件完整性监控 (FIM) - 漏洞检测 - 用于威胁识别的自定义检测规则 - 用于自动阻止恶意活动的主动响应 - 与 OpenCTI 和 MISP 集成以进行威胁情报富化 ### Graylog — 日志管理 [https://www.graylog.org/](https://www.graylog.org/) Graylog 用于集中式日志管理、解析，以及跨实验室中所有日志源的搜索。 **使用的主要功能：** - 接收 syslog、Windows 事件日志和应用程序日志 - 基于流的日志路由和过滤 - 基于日志模式和异常的告警 - 创建仪表板以实现日志可见性 - 与 Wazuh 集成以转发告警 ### Grafana — 仪表板与可视化 [https://grafana.com/](https://grafana.com/) Grafana 提供实时仪表板，用于可视化 Wazuh 和 InfluxDB 收集的指标和安全事件。 **使用的主要功能：** - 来源于 Wazuh 和 InfluxDB 的安全事件仪表板 - 针对高严重性事件的告警面板 - 网络流量和系统性能可视化 - 作为数据源与 InfluxDB 集成 ### OpenCTI — 威胁情报平台 [https://github.com/OpenCTI-Platform/opencti](https://github.com/OpenCTI-Platform/opencti) OpenCTI 用于存储、组织和运营来自多个来源的威胁情报。 **使用的主要功能：** - 获取 STIX/TAXII 威胁情报源 - 将失陷指标 映射到 MITRE ATT&CK 技术 - 与 MISP 集成进行情报共享 - 利用威胁上下文丰富 Wazuh 告警 ### MISP — 恶意软件信息共享平台 [https://github.com/MISP/MISP](https://github.com/MISP/MISP) MISP 用于存储和共享结构化威胁情报，特别是 IP 地址、文件哈希和域名等 IoC。 **使用的主要功能：** - 创建和管理包含 IoC 的威胁事件 - 与 OpenCTI 共享情报 - 导出 IoC 源用于 Wazuh 检测规则 - 跨多个事件的 IoC 关联 ### IRIS — 事件响应平台 [https://github.com/dfir-iris/iris-web](https://github.com/dfir-iris/iris-web) IRIS 用于在整个生命周期内管理和跟踪安全事件。 **使用的主要功能：** - 安全事件的案例管理 - 证据跟踪和时间线构建 - 事件响应期间的任务分配和协作 - 与 Shuffle 集成，根据 Wazuh 告警自动创建案例 ### Velociraptor — 数字取证与端点可见性 [https://github.com/Velocidex/velociraptor](https://github.com/Velocidex/velociraptor) Velociraptor 为受监控主机提供深度的端点可见性，用于数字取证和威胁搜寻。 **使用的主要功能：** - 从 Windows 和 Linux 端点收集 Artifact - 事件响应期间的实时取证分析 - 用于在所有端点上进行 IoC 扫描的搜寻查询 - 进程、网络连接和文件系统分析 ### Shuffle — SOAR [https://shuffler.io/](https://shuffler.io/) Shuffle 是 SOAR (安全编排、自动化和响应) 平台，用于自动化重复的 SOC 工作流程。 **使用的主要功能：** - 由 Wazuh 检测触发的自动告警分类 - 使用 MISP 和 OpenCTI 的 IoC 富化工作流 - 为高严重性告警在 IRIS 中自动创建案例 - 安全事件的电子邮件和消息通知 - 常见事件响应程序的 Playbook ### InfluxDB — 时序指标数据库 [https://github.com/influxdata/influxdb](https://github.com/influxdata/influxdb) InfluxDB 存储来自网络设备、端点和安全工具的时序指标，用于 Grafana 中的可视化。 **使用的主要功能：** - 存储系统性能指标 (CPU、内存、网络) - 用于短期和长期指标存储的保留策略 - 用于实时仪表板的 Grafana 数据源 ### pfSense — 防火墙与网络安全 [https://www.pfsense.org/](https://www.pfsense.org/) pfSense 充当网络网关和防火墙，控制实验室网段之间的流量并提供网络级可见性。 **使用的主要功能：** - 实验室区域之间的网络分段 - 用于模拟真实环境边界控制的防火墙规则 - Suricata IDS/IPS 集成用于网络威胁检测 - 日志转发到 Graylog 进行集中分析 ### Sysmon — Windows 系统活动监控 [https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) Sysmon (系统监视器) 部署在所有 Windows 端点上，提供有关进程创建、网络连接、文件更改等的详细遥测数据。 **使用的 Sysmon 配置：** [SwiftOnSecurity/sysmon-config](https://github.com/SwiftOnSecurity/sysmon-config) **使用的主要功能：** - 进程创建和命令行日志记录 - 带有进程归因的网络连接跟踪 - 文件创建时间更改检测 - 驱动程序和镜像加载监控 - 将事件转发到 Wazuh Agent 以进行 SIEM 接收 ## 获得的技能与经验 - **检测工程：** 编写和调优映射到 MITRE ATT&CK 技术的 Wazuh 检测规则 - **日志管理：** 使用 Graylog 集中化和规范化来自不同来源的日志 - **威胁情报：** 通过 OpenCTI 和 MISP 运营化威胁源以丰富检测 - **事件响应：** 在 IRIS 中管理完整的事件生命周期，从检测到结案 - **数字取证：** 使用 Velociraptor 进行端点取证分析和威胁搜寻 - **安全自动化：** 在 Shuffle 中构建 SOAR Playbook 以减少人工分析工作量 - **网络安全：** 配置 pfSense 进行分段、防火墙和 IDS/IPS - **监控与可视化：** 在 InfluxDB 支持下构建 Grafana 安全仪表板 - **Windows 内部机制：** 使用 Sysmon 在 Windows 主机上捕获深度端点遥测数据 ## 参考资料 - Wazuh 文档: https://documentation.wazuh.com/ - Graylog 文档: https://go2docs.graylog.org/ - Grafana 文档: https://grafana.com/docs/ - OpenCTI 文档: https://docs.opencti.io/ - MISP 文档: https://www.misp-project.org/documentation/ - IRIS 文档: https://docs.dfir-iris.org/ - Velociraptor 文档: https://docs.velociraptor.app/ - Shuffle 文档: https://shuffler.io/docs - InfluxDB 文档: https://docs.influxdata.com/ - pfSense 文档: https://docs.netgate.com/pfsense/en/latest/ - Sysmon 文档: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon - SwiftOnSecurity Sysmon 配置: https://github.com/SwiftOnSecurity/sysmon-config

标签：Grafana, Graylog, HTTP/HTTPS抓包, InfluxDB, IP 地址批量处理, IRIS, OISF, OpenCTI, PE 加载器, pfSense, Shuffle, SOAR, Sysmon, Velociraptor, Wazuh, 域环境安全, 威胁情报, 安全实训, 安全编排与自动化, 安全运营中心, 家庭实验室, 库, 应急响应, 开发者工具, 态势感知, 数字取证, 日志管理, 用户态调试, 端点检测与响应, 网络安全, 网络安全审计, 网络映射, 脱壳工具, 自动化脚本, 防火墙, 隐私保护