amanuel-projects/Wazuh-SIEM-SOC-home-lab

# 🔐 Wazuh SIEM SOC 家庭实验室 ## 📌 概述 该项目展示了一个使用 Wazuh SIEM 构建的安全运营中心 (SOC) 家庭实验室。我们将 Windows 端点与 Wazuh 服务器集成，以监控系统活动、检测威胁并分析安全事件。 该实验室模拟了现实世界的 SOC 工作流程，包括日志摄取、威胁检测和事件调查。 ## 🛠️ 使用的技术 - Wazuh SIEM - Ubuntu (Wazuh Server) - Windows 11 (Endpoint) - VirtualBox - PowerShell ## 🧱 实验室架构 - **Wazuh Server (Ubuntu VM)** – 集中日志收集与分析 - **Windows Endpoint (VM)** – 生成安全事件 - **Wazuh Agent** – 将日志从端点发送到服务器 ## 🔍 关键功能 ### ✅ 端点监控 - 将 Windows agent 连接到 Wazuh server - 验证了活跃的 agent 通信和日志摄取 ### 🚨 暴力破解检测 - 在 Windows 上模拟了失败的登录尝试 - 在 Wazuh 中检测到了身份验证失败 ### 📂 文件完整性监控 (FIM) - 配置 syscheck 以监控文件更改 - 通过创建/修改文件触发警报 **检测到的事件：** - 文件已添加 - 文件已修改 - 完整性校验和更改 ### 🧠 威胁狩猎与日志分析 - 使用 Wazuh 威胁狩猎仪表板分析事件 - 使用详细的 JSON 视图调查日志 **示例洞察：** - 文件：`C:\Users\Public\test.txt` - 检测到的更改：大小和哈希值已修改 - 事件类型：完整性更改 ### 🧬 MITRE ATT&CK 映射 - 观察映射到 MITRE ATT&CK 战术的警报 - 示例类别：Defense Evasion (防御规避)，Impact (影响) ## 🎯 展示的技能 - SIEM 部署与配置 - 端点监控与日志分析 - 威胁检测（暴力破解攻击） - 文件完整性监控 (FIM) - 安全事件调查 (JSON 日志) - MITRE ATT&CK 意识 ## 🚀 如何复现（高层概览） 1. 设置 Ubuntu VM 并安装 Wazuh server 2. 设置 Windows VM 并安装 Wazuh agent 3. 将 agent 连接到 Wazuh manager 4. 生成事件： - 失败的登录尝试 - 文件创建/修改 5. 在 Wazuh 仪表板中分析日志 ## 📸 截图 （在此处添加您的截图） - Agent 活跃状态 - 失败登录事件 - 文件完整性监控警报 - 事件详情 (JSON 视图) ## 📈 未来改进 - 添加多个端点 (Linux + Windows) - 模拟恶意软件检测 (EICAR 文件) - 实施警报通知 - 自动化事件响应 ## 💼 简历要点 - 使用 Wazuh SIEM 构建了 SOC 家庭实验室，用于监控 Windows 端点，检测暴力破解登录尝试，并实施文件完整性监控以进行实时威胁检测和分析。 ## 🎤 核心收获 该项目展示了对 SIEM 工具的实践经验，包括在模拟 SOC 环境中检测、分析和调查安全事件。

标签：AI合规, AMSI绕过, BurpSuite集成, Cloudflare, HTTP工具, IPv6, JSON 日志, MITRE ATT&CK, PowerShell, RFI远程文件包含, Syscheck, VirtualBox, Wazuh, Windows 安全, x64dbg, 免杀技术, 威胁检测, 子域名变形, 安全实验, 安全运营中心, 家庭实验室, 暴力破解检测, 渗透测试模拟, 私有化部署, 端点监控, 红队行动, 网络安全, 网络映射, 防御规避, 隐私保护