TheJoeMan1/SOC-Homelab-Wazuh

# SOC-Homelab-Wazuh 使用 Metasploit 在 Windows 受害者主机上模拟真实攻击，并由 Wazuh SIEM 实时检测的 SOC Homelab（安全运营中心家庭实验室），包含自定义的 MITRE ATT&CK 映射检测规则和自动化主动响应。 # SOC Homelab — Wazuh SIEM + Metasploit 攻击模拟 ## 概述 一个从零开始构建的全功能安全运营中心 (SOC) Homelab，旨在 模拟真实攻击并使用 SIEM 进行检测。 ## 架构 | 机器 | 角色 | IP | |---|---|---| | Kali Linux | 攻击者 | 192.168.56.1 | | Wazuh OVA | SIEM | 192.168.56.10 | | Windows 10 | 受害者 | 192.168.56.20 | ## 使用的工具 - Wazuh SIEM v4.14 - Metasploit Framework - msfvenom - Sysmon - VirtualBox Host-Only Network ## 攻击模拟 1. 使用 msfvenom 生成反向 shell payload 2. 通过 Python HTTP 服务器投递 payload 3. 在 Windows 受害者主机上打开 Meterpreter 会话 4. 运行后渗透命令：whoami, systeminfo, net user, tasklist ## 检测 — 自定义 Wazuh 规则 | 规则 ID | 描述 | MITRE 技术 | |---|---|---| | 100010 | 通过 net.exe 进行的账户枚举 | T1087 | | 100011 | 系统信息收集 | T1082 | | 100012 | 注册表 Run 键枚举 | T1547.001 | | 100013 | 正在运行的进程枚举 | T1057 | | 100014 | Mimikatz / 凭据转储 | T1003 | | 100015 | 可疑的 PowerShell 执行 | T1059.001 | | 100016 | 注册表 Run 键修改 | T1547.001 | ## 主动响应 Wazuh firewall-drop 配置为自动响应检测结果。 ## 截图 查看 /screenshots 文件夹。 linkedin.com/in/thejoeman/ yossifmohamedabbas50@gmail.com

标签：DAST, EDR, Homelab, Mimikatz, OpenCanary, Reverse Shell, RFI远程文件包含, Sysmon, Wazuh, Windows 安全, 主动响应, 安全运营中心, 家庭实验室, 恶意软件分析, 攻击模拟, 数据展示, 无线安全, 红队, 网络安全, 网络映射, 脆弱性评估, 自动化防御, 蜜罐, 证书利用, 防火墙封禁, 隐私保护, 驱动签名利用