aheedhul/wazuh-soc-lab

GitHub: aheedhul/wazuh-soc-lab

基于 Wazuh 构建的 SOC 家庭实验室,涵盖 SIEM 部署、端点监控、攻击模拟、告警调优、自动响应及 SOAR 风格威胁情报富化的完整实践记录。

Stars: 1 | Forks: 0

# Wazuh SOC 家庭实验室 本仓库记录了由 Aheedhul Faaiz 构建的基于 Wazuh 的 SOC 家庭实验室,使用 Ubuntu Server 24.04 LTS 作为 SIEM 后端,并使用 Kali Linux 同时作为被监控端点和攻击者。[file:1] 该实验室演示了 SIEM 部署、agent 接入、SSH 暴力破解检测、文件完整性监控(File Integrity Monitoring)以及自动化的 Active Response 防火墙封禁。 ## 项目概述 - **SIEM**:在 Ubuntu Server 24.04 LTS 上运行 Wazuh 4.8.2 一体化方案(manager、indexer、dashboard、Filebeat)。 - **端点**:Kali GNU/Linux Rolling 2026.1(agent + 攻击者),作为分析师工作站的 Windows 11 主机运行 VMware Workstation 17 Player。[file:1] - **模拟攻击**: - Nmap SYN 扫描(记录的可见性盲区 – 无告警)。 - Hydra SSH 暴力破解攻击,已被检测并升级为高危暴力破解告警。 - 通过对 `/root/soc_trap` 的文件完整性监控(File Integrity Monitoring)检测到可疑 payload 投递。 - 针对 Windows 端点的 RDP 暴力破解及账户锁定检测。 - 可疑的 PowerShell 执行(Base64 编码命令、发现链)。 - 测试 payload 投递,包含 Sysmon Event 11 + Windows Defender 集成。[file:1] - **响应**:配置了 Wazuh Active Response,以便在检测到暴力破解时自动通过防火墙封禁攻击者 IP。 - **告警调优**:自定义 Wazuh 规则(100002–100005),使用精准的 PCRE2 匹配抑制已排查的误报,同时保留对真实威胁的检测。 有关每个项目的详细叙述报告,请参见: - [`docs/wazuh-project1-report.md`](docs/wazuh-project1-report.md) — SIEM 部署、攻击模拟、检测、主动响应 - [`docs/wazuh-project2-report.md`](docs/wazuh-project2-report.md) — Python 威胁情报自动化(SOAR 风格)*(进行中)* ### 告警排查 SOC 风格的告警排查工单记录在 [`docs/investigations/`](docs/investigations/) 中: | 工单 | 规则 | 严重程度 | 判定 | |--------|------|----------|---------| | [SOC-2026-0328-001](docs/investigations/SOC-2026-0328-001.md) | 92213 — 恶意软件文件夹中投递了可执行文件 | Level 15 | 误报 — Brave 浏览器更新 | | [SOC-2026-0328-002](docs/investigations/SOC-2026-0328-002.md) | 92200 — Temp 文件夹中存在脚本文件 | Level 6 | 误报 — Windows svchost 诊断 | ## 架构 ![Wazuh SOC 实验室架构](https://raw.githubusercontent.com/aheedhul/wazuh-soc-lab/main/images/architecture-diagram.png) ## 关键截图 ### Wazuh agent(Kali 已连接) ![Wazuh agent 视图](https://static.pigsec.cn/wp-content/uploads/repos/cas/8e/8e072b69a2eed442e6ecc02ee86f941f6017152ec316f777b2882b14e57965a1.png) ### Active Response 之前的 Hydra SSH 暴力破解 ![防火墙封禁前的 Hydra](https://static.pigsec.cn/wp-content/uploads/repos/cas/4b/4b523f9eff87dc1da91858e79869b313ae4a5e681e8410585164fe4ec3e82423.png) ### Active Response 之后的 Hydra SSH 暴力破解(超时) ![防火墙封禁后的 Hydra](https://static.pigsec.cn/wp-content/uploads/repos/cas/05/0576b8e9f1f6c9cf88d8ffd736713eed1c348cbabc83191ea2d70311b6b867ca.png) ### 针对 /root/soc_trap 的文件完整性监控告警 ![FIM 告警](https://static.pigsec.cn/wp-content/uploads/repos/cas/02/0255d2af2bfd5c6a9471c3b6d4cc98300dfa18272edfd0bb63452c30b1e9147e.png) ### Nmap SYN 扫描(可见性盲区 – 无告警) ![Nmap 扫描](https://static.pigsec.cn/wp-content/uploads/repos/cas/41/411eea69ea148257fbd4694a6bbb3083c409b2d031499f3ddce712b76c324cd8.png) ### 按 agent 分类的 MITRE ATT&CK 技术 ![按 agent 分类的 MITRE 技术](https://static.pigsec.cn/wp-content/uploads/repos/cas/08/08a61010ffd9e00d14b110f902b72ee2ef4041f5b8f4fef76ea2c9dc951752f4.png) ### 按技术分类的攻击 ![按技术分类的攻击](https://static.pigsec.cn/wp-content/uploads/repos/cas/df/df2fa86260a58ef0617a8ae07d937478660262ca0cfd52fc9526f51638368435.png) ### 按 agent 分类的战术 ![按 agent 分类的战术](https://static.pigsec.cn/wp-content/uploads/repos/cas/2b/2b9b362e470f62d780d546ddb59555d3653d2d9be92912fee361fb9f216bd081.png) ## 脚本 `scripts/` 目录包含实验室设置期间使用的辅助脚本: | 脚本 | 用途 | |--------|---------| | `dynamic-ip-helper.py` | 使用新的 manager IP 更新 Wazuh agent 配置(Python/Linux) | | `dynamic-ip-helper-win.ps1` | 使用新的 manager IP 更新 Wazuh Windows agent 配置(PowerShell) | | `update-wazuh.sh` | 与 dynamic-ip-helper.py 相同(Bash 版本 – 作为跨语言参考保留) | | `enable_fim.py` | 将 FIM 实时监控配置注入 `ossec.conf` | | `inject_active_response.py` | 将 Active Response firewall-drop 配置注入 `ossec.conf` | | `wazuh_soar.py` | **项目 2** — 通过 VirusTotal/AbuseIPDB 进行实时告警富化 + Discord 通知 | ## 配置 `configs/` 目录包含实验室中使用的配置代码片段: | 配置 | 用途 | |--------|---------| | `sysmon-config.xml` | 最小化 Sysmon 配置:事件 1(进程)、3(网络)、11(文件)、22(DNS),并带有噪音过滤 | | `alert-tuning-rules.xml` | 用于抑制误报的自定义 Wazuh 规则(100002–100005) | | `fim-config-snippet.xml` | 针对 `/root/soc_trap` 的 FIM 实时监控配置 | | `active-response-snippet.xml` | 基于规则 5763 的 Active Response firewall-drop 配置 |
标签:AI合规, DNS 反向解析, HTTP工具, Wazuh, x64dbg, 安全实验室, 安全运营中心, 安全运营自动化, 应用安全, 插件系统, 攻击模拟, 网络映射, 逆向工具, 驱动签名利用