Tohiko98/wazuh-home-lab
GitHub: Tohiko98/wazuh-home-lab
基于 Wazuh v4.11.2 构建的个人 SIEM/XDR 家庭实验室,包含多代理监控、自定义检测规则和 MITRE ATT&CK 映射。
Stars: 1 | Forks: 0
# Wazuh 家庭实验室
基于 **Wazuh v4.11.2** 构建的个人 SIEM/XDR 监控实验室,部署在 VirtualBox 的 Ubuntu Server 上。
作为 IFTS 网络安全课程(Sicurezza delle Reti e dei Servizi in Cloud)的一部分构建。
## 架构
```
┌─────────────────────────┐ ┌──────────────────────┐
│ Ubuntu Server (VM) │ │ WindowsAgent01 │
│ │◄──────►│ (Windows 11 host) │
│ - Wazuh Manager │ │ - Wazuh Agent │
│ - Wazuh Indexer │ │ - Windows Events │
│ - Wazuh Dashboard │ │ - Security logs │
└─────────────────────────┘ └──────────────────────┘
VirtualBox / Host-Only Network
```
| 组件 | 详情 |
|------------------|--------------------------------------|
| Wazuh Server | v4.11.2 on Ubuntu Server 24.04 (VM) |
| Wazuh Indexer | OpenSearch (bundled) |
| Wazuh Dashboard | Web UI on port 443 |
| Agent 000 | UbuntuServer (local) |
| Agent 004 | WindowsAgent01 (Windows 11 host) |
## 自定义检测规则
定义在 [`rules/local_rules.xml`](rules/local_rules.xml) 中。
### 规则 100001 — SSH 暴力破解(基于 IP)
扩展了默认的 Wazuh SSH 认证规则 (SID 5716)。
当失败的登录源自特定源 IP 时,在 **级别 5** 触发。
### 规则 100002–100005 — Python 应用程序日志解析器
从自定义 Python 应用程序摄取结构化 JSON 日志,并将严重性映射到 Wazuh 告警级别:
| 应用程序日志级别 | 规则 ID | Wazuh 级别 | 含义 |
|---------------|---------|-------------|------------------|
| (base) | 100002 | 0 | JSON 解码器 |
| INFO | 100003 | 3 | 信息 |
| WARNING | 100004 | 5 | 中度关注 |
| ERROR | 100005 | 9 | 高严重性 |
## 仪表板
### 具有 MITRE ATT&CK 映射的 Agent 事件
实验室环境中检测到的 MITRE 技术:
- **Valid Accounts** (T1078)
- **Domain Policy Modification** (T1484)
- **Account Manipulation** (T1098)
- **Remote Services** (T1021)
## 示例告警报告
请参阅 [`reports/sample_report.md`](reports/sample_report.md) 查看包含上下文和修复说明的解释性告警示例。
## 相关项目
[**wazuh-report-generator**](#) — 通过 API 查询 Wazuh 告警并生成意大利语通俗语言安全报告的 Python 脚本,目标用户为非技术背景的中小企业主。使用 Anthropic Claude API。
## 实验室目标
- 在真实的家庭实验室环境中部署和配置生产级 SIEM
- 基于真实日志源编写自定义检测规则
- 监控和关联多个 Agent (Linux + Windows) 之间的事件
- 在实践中理解 MITRE ATT&CK 框架映射
- 围绕 Wazuh API 构建自动化报告工具
## 技术栈
`Wazuh 4.11.2` `OpenSearch` `Ubuntu Server 24.04` `VirtualBox` `Python 3` `Windows 11`
标签:Cloudflare, EDR, GitHub Advanced Security, MITRE ATT&CK, PE 加载器, Python 日志解析, SSH 暴力破解, Ubuntu Server, VirtualBox, Wazuh, Windows Agent, 安全加固, 安全实验, 安全运营, 家庭实验室, 扫描框架, 网络安全, 脆弱性评估, 自定义规则, 隐私保护