ramyaradjesh/Wazuh-Threat-detection-Project

# Wazuh SOC 模拟实验室 — 威胁检测与事件监控 ## 概述 本项目是一个基于研究的 Security Operations Center (SOC) 模拟，旨在受控的虚拟化实验环境中，使用 Wazuh SIEM/XDR 探索现实世界的威胁检测。 该实验室由三台虚拟机组成： - **Kali Linux** — 模拟攻击机 - **Ubuntu 2** — 运行 Wazuh Agent、Apache、MariaDB 和 DVWA 的目标系统 - **Ubuntu 1** — 运行 Wazuh Manager、OpenSearch 和 Dashboard 的监控服务器 ## 涵盖场景 | # | 场景 | 类别 | |---|----------|----------| | 1 | Operation StaleBase — 数据库渗出 | 数据窃取 | | 2 | CloudShadow — 凭证文件泄露 | 云安全 | | 3 | GhostEnum — 内部枚举与横向移动 | 内部威胁 | ## 模拟的攻击技术 - SSH 与 MySQL 暴力破解 - 通过 DVWA 进行 SQL 注入 - 远程代码执行 (Web Shell 上传) - 通过 `INTO OUTFILE` 进行的数据库转储 - 敏感凭证文件发现 - 内部网络枚举 - 通过 crontab 实现持久化 ## 使用的 Wazuh 检测模块 - 文件完整性监控 (FIM) - 日志数据分析 (Apache, Auth, MySQL) - Auditd 集成 - 自定义关联规则 - 主动响应 ## 目的 本项目纯粹用于教育和研究目的， 展示了防御性安全技术、SOC 工作流程， 以及开源 SIEM 工具在检测映射到 MITRE ATT&CK 的常见攻击模式方面的有效性。 ## 工具与技术 `Wazuh` `OpenSearch` `DVWA` `MariaDB` `Apache2` `Kali Linux` `Ubuntu 22.04` `Hydra` `Nmap` `Auditd`

标签：AMSI绕过, BurpSuite集成, CISA项目, Cloudflare, CTI, DNS 反向解析, DVWA, MITRE ATT&CK, PoC, SOC模拟, Wazuh, x64dbg, 主动响应, 内部威胁, 威胁检测, 安全运营中心, 实验室环境, 插件系统, 攻击模拟, 数据渗出, 暴力破解, 横向移动, 编程工具, 编程规范, 网络安全, 网络安全审计, 网络映射, 蓝队演练, 蜜罐靶场, 远程代码执行, 速率限制, 隐私保护, 驱动签名利用