Jiubel/Jiubelsproject1.github.io

# 🛡️ Home SOC 实验室 (Wazuh + Cowrie Honeypot) ## 📌 目标 本项目侧重于构建家庭 SOC 实验室，以模拟攻击者活动并观察其在 SIEM 中如何被捕获、摄入和分析。该项目重点展示了端到端的检测流程和基础安全事件调查过程。 ## 🧱 使用的工具 - Wazuh (SIEM / 日志分析) - Cowrie (SSH 蜜罐) - VirtualBox (实验环境) - Linux (Ubuntu) ## 🏗️ 实验室搭建 该实验室使用 Oracle VM VirtualBox 搭建，利用多台虚拟机模拟基础的 SOC 环境。Wazuh 被配置为中央 SIEM，用于日志收集和分析，而 Cowrie 则作为 SSH 蜜罐部署，用于捕获和监控攻击者活动。 ## 🎯 我所做的工作 - 使用 Oracle VM VirtualBox 搭建虚拟 SOC 实验室 - 安装并配置 Wazuh 以进行日志监控和告警 - 模拟失败的登录尝试以生成身份验证日志 - 在 Wazuh 中验证对可疑活动的检测 - 部署 Cowrie 蜜罐以捕获攻击者交互 - 通过 SSH 模拟攻击者访问并执行命令 - 在 Wazuh 仪表板中分析蜜罐活动和告警 ## ⚙️ 实施过程 ### 1. 虚拟实验室搭建 在 Oracle VM VirtualBox 中创建虚拟机以搭建 SOC 环境。  ### 2. Wazuh 安装 使用官方脚本安装 Wazuh，并通过仪表板确认其运行状态。   ### 3. 失败登录模拟 使用 `su wazuh` 命令生成失败的认证尝试，以模拟可疑的登录行为。  ### 4. Wazuh 中的检测 观察到 Wazuh 检测到了失败的登录尝试，并生成了与认证失败相关的告警。  ### 5. Cowrie 蜜罐搭建 配置并启动 Cowrie SSH 蜜罐以捕获攻击者交互。  ### 6. SSH 攻击模拟 通过 SSH 连接到蜜罐并执行命令，模拟攻击者行为。 使用的示例命令： - ssh root@localhost -p 2222 - whoami  ### 7. Wazuh 监控蜜罐活动 验证 Wazuh 是否检测到了蜜罐活动，包括登录会话和命令执行。  ## 📊 结果 - 成功生成了失败的登录尝试和攻击者活动 - 验证了 Wazuh 能够检测认证失败和会话活动 - 观察到了仪表板中的实时告警 - 演示了完整的 攻击 → 检测 工作流程 ## 📚 我所学到的知识 - 像 Wazuh 这样的 SIEM 工具如何收集和分析日志 - 身份验证失败在监控系统中是如何呈现的 - 蜜罐如何捕获攻击者行为 - 如何将攻击者行为与 SIEM 告警进行关联 ## 🚀 技能 - SIEM 监控 - 日志分析与告警调查 - Linux 命令行使用 - 蜜罐部署 - 基础威胁检测 ## 🚧 状态 - 实验室搭建 ✅ - Wazuh 已配置 ✅ - 攻击模拟完成 ✅ - 检测已验证 ✅

标签：AMSI绕过, SSH蜜罐, VirtualBox, Wazuh, 后端开发, 失败登录, 威胁检测, 安全信息与事件管理, 安全告警, 安全运营中心, 家庭实验室, 搜索引擎爬取, 模拟攻击, 网络映射, 虚拟化, 蜜罐, 认证日志, 证书利用, 进程注入