aheedhul/wazuh-soc-lab
GitHub: aheedhul/wazuh-soc-lab
基于 Wazuh 构建的 SOC 家庭实验室,涵盖 SIEM 部署、端点监控、攻击模拟、告警调优、自动响应及 SOAR 风格威胁情报富化的完整实践记录。
Stars: 1 | Forks: 0
# Wazuh SOC 家庭实验室
本仓库记录了由 Aheedhul Faaiz 构建的基于 Wazuh 的 SOC 家庭实验室,使用 Ubuntu Server 24.04 LTS 作为 SIEM 后端,并使用 Kali Linux 同时作为被监控端点和攻击者。[file:1] 该实验室演示了 SIEM 部署、agent 接入、SSH 暴力破解检测、文件完整性监控(File Integrity Monitoring)以及自动化的 Active Response 防火墙封禁。
## 项目概述
- **SIEM**:在 Ubuntu Server 24.04 LTS 上运行 Wazuh 4.8.2 一体化方案(manager、indexer、dashboard、Filebeat)。
- **端点**:Kali GNU/Linux Rolling 2026.1(agent + 攻击者),作为分析师工作站的 Windows 11 主机运行 VMware Workstation 17 Player。[file:1]
- **模拟攻击**:
- Nmap SYN 扫描(记录的可见性盲区 – 无告警)。
- Hydra SSH 暴力破解攻击,已被检测并升级为高危暴力破解告警。
- 通过对 `/root/soc_trap` 的文件完整性监控(File Integrity Monitoring)检测到可疑 payload 投递。
- 针对 Windows 端点的 RDP 暴力破解及账户锁定检测。
- 可疑的 PowerShell 执行(Base64 编码命令、发现链)。
- 测试 payload 投递,包含 Sysmon Event 11 + Windows Defender 集成。[file:1]
- **响应**:配置了 Wazuh Active Response,以便在检测到暴力破解时自动通过防火墙封禁攻击者 IP。
- **告警调优**:自定义 Wazuh 规则(100002–100005),使用精准的 PCRE2 匹配抑制已排查的误报,同时保留对真实威胁的检测。
有关每个项目的详细叙述报告,请参见:
- [`docs/wazuh-project1-report.md`](docs/wazuh-project1-report.md) — SIEM 部署、攻击模拟、检测、主动响应
- [`docs/wazuh-project2-report.md`](docs/wazuh-project2-report.md) — Python 威胁情报自动化(SOAR 风格)*(进行中)*
### 告警排查
SOC 风格的告警排查工单记录在 [`docs/investigations/`](docs/investigations/) 中:
| 工单 | 规则 | 严重程度 | 判定 |
|--------|------|----------|---------|
| [SOC-2026-0328-001](docs/investigations/SOC-2026-0328-001.md) | 92213 — 恶意软件文件夹中投递了可执行文件 | Level 15 | 误报 — Brave 浏览器更新 |
| [SOC-2026-0328-002](docs/investigations/SOC-2026-0328-002.md) | 92200 — Temp 文件夹中存在脚本文件 | Level 6 | 误报 — Windows svchost 诊断 |
## 架构

## 关键截图
### Wazuh agent(Kali 已连接)

### Active Response 之前的 Hydra SSH 暴力破解

### Active Response 之后的 Hydra SSH 暴力破解(超时)

### 针对 /root/soc_trap 的文件完整性监控告警

### Nmap SYN 扫描(可见性盲区 – 无告警)

### 按 agent 分类的 MITRE ATT&CK 技术

### 按技术分类的攻击

### 按 agent 分类的战术

## 脚本
`scripts/` 目录包含实验室设置期间使用的辅助脚本:
| 脚本 | 用途 |
|--------|---------|
| `dynamic-ip-helper.py` | 使用新的 manager IP 更新 Wazuh agent 配置(Python/Linux) |
| `dynamic-ip-helper-win.ps1` | 使用新的 manager IP 更新 Wazuh Windows agent 配置(PowerShell) |
| `update-wazuh.sh` | 与 dynamic-ip-helper.py 相同(Bash 版本 – 作为跨语言参考保留) |
| `enable_fim.py` | 将 FIM 实时监控配置注入 `ossec.conf` |
| `inject_active_response.py` | 将 Active Response firewall-drop 配置注入 `ossec.conf` |
| `wazuh_soar.py` | **项目 2** — 通过 VirusTotal/AbuseIPDB 进行实时告警富化 + Discord 通知 |
## 配置
`configs/` 目录包含实验室中使用的配置代码片段:
| 配置 | 用途 |
|--------|---------|
| `sysmon-config.xml` | 最小化 Sysmon 配置:事件 1(进程)、3(网络)、11(文件)、22(DNS),并带有噪音过滤 |
| `alert-tuning-rules.xml` | 用于抑制误报的自定义 Wazuh 规则(100002–100005) |
| `fim-config-snippet.xml` | 针对 `/root/soc_trap` 的 FIM 实时监控配置 |
| `active-response-snippet.xml` | 基于规则 5763 的 Active Response firewall-drop 配置 |
标签:AI合规, DNS 反向解析, HTTP工具, Wazuh, x64dbg, 安全实验室, 安全运营中心, 安全运营自动化, 应用安全, 插件系统, 攻击模拟, 网络映射, 逆向工具, 驱动签名利用