dhana2138/SOC-Wazuh-Threat-Detection-Lab

# 🔐 SOC 分析师实验 – Wazuh SIEM + 威胁检测 ## 📌 标题 使用 Wazuh SIEM 进行威胁检测和事件响应的安全运营中心 (SOC) 实验 ## 📖 简介 本项目演示了在 Ubuntu 虚拟机上部署 **Wazuh SIEM** 的动手 SOC（安全运营中心）工作流程。目标是模拟真实的安全监控、检测可疑活动、分析日志并执行事件响应操作。 本实验包括： * 日志分析 * 威胁情报查询 * 告警分类 * 证据收集 * 事件响应 ## 🛠️ 使用的工具与技术 * Ubuntu (VirtualBox 虚拟机) * Kali Linux (攻击者模拟) * Wazuh SIEM * VirusTotal (威胁情报) * Linux 命令 (netstat, sha256sum) * Excel / Google Sheets ## ⚙️ 实验环境搭建 ### 步骤 1：虚拟机设置 * 在 VirtualBox 上安装 Ubuntu * 分配 4GB 内存和 25GB 存储 * 配置网络 (NAT) ### 步骤 2：安装 Wazuh ``` sudo apt update sudo apt install curl -y curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash wazuh-install.sh -a -i ``` ## 📊 步骤 1：高级日志分析 ### 📌 描述 分析了身份验证日志，以识别可疑的登录尝试和网络活动。 ### 📋 表格 | 时间戳 | 事件 ID | 源 IP | 目标 IP | 备注 | | ------------------- | ------- | ------------- | -------------- | ------------------------ | | 2026-03-27 10:15:23 | 4625 | 192.168.1.100 | 8.8.8.8 | 登录失败 + DNS 查询 | | 2026-03-27 10:16:10 | 4625 | 192.168.1.100 | 8.8.4.4 | 重复登录失败 | | 2026-03-27 10:18:45 | 4625 | 192.168.1.100 | 1.1.1.1 | 疑似暴力破解 | | 2026-03-27 10:20:02 | 4624 | 192.168.1.100 | 8.8.8.8 | 登录成功 | ### 📝 发现 * 检测到多次失败的登录尝试 * 可能是暴力破解攻击 * 观察到可疑的出站 DNS 流量 ## 🌐 步骤 2：威胁情报 ### 📌 描述 使用 VirusTotal 分析了 IP 信誉。 ### 📋 表格 | 告警 ID | IP | 信誉 | 备注 | | ------- | ------------- | ------ | -------------------- | | 003 | 192.168.1.100 | 恶意 | 关联到 C2 | | 004 | 192.168.1.100 | 可疑 | 暴力破解尝试 | | 005 | 192.168.1.100 | 恶意 | 被威胁情报标记 | ### 📝 发现 * 该 IP 被标记为恶意 * 与命令与控制 (C2) 活动相关 ## 🚨 步骤 3：告警分类 ### 📌 描述 根据严重程度对告警进行了优先级排序。 ### 📋 表格 | 告警 ID | 描述 | IP | 优先级 | 状态 | | ------- | -------------------- | ------------- | ------ | ------ | | 004 | PowerShell 执行 | 192.168.1.101 | 高 | 待处理 | | 005 | 多次登录失败 | 192.168.1.100 | 高 | 待处理 | | 006 | 可疑网络连接 | 192.168.1.102 | 中 | 调查中 | | 007 | 未授权访问 | 192.168.1.103 | 高 | 待处理 | ### 📝 发现 * 高优先级告警需要立即采取行动 * 检测到可疑的执行活动 ## 🧾 步骤 4：证据收集 ### 📌 使用的命令 ``` sudo netstat -antp > evidence.txt sha256sum evidence.txt ``` ### 📌 描述 * 捕获了活动的网络连接 * 生成 SHA256 哈希值以进行完整性验证 ### 📝 发现 * 识别出活动的连接 * 证据已通过哈希值保全 ## 🔥 步骤 5：事件响应 ### 📌 采取的行动 ``` sudo ufw deny from 192.168.1.101 ``` * 封锁了恶意 IP * 调查了可疑进程 * 监控系统以发现进一步的活动 ### 📝 发现 * 成功遏制威胁 * 系统已安全 ## 📸 屏幕截图 在你的代码库中包含以下屏幕截图： * Wazuh 仪表板 * Wazuh 事件页面 * 终端日志（登录失败尝试） * 证据收集命令输出 * Nessus / 安全工具输出（可选） ## 📂 代码库结构 ``` SOC-Project/ │ ├── README.md ├── report/ │ └── SOC_Report.docx │ ├── screenshots/ │ ├── log_analysis.png │ ├── wazuh_dashboard.png │ ├── wazuh_events.png │ ├── nessus_status.png │ ├── evidence_collection.png │ ├── tables/ │ ├── log_analysis.csv │ ├── threat_intel.csv │ ├── alert_triage.csv │ └── evidence/ ├── evidence.txt ├── evidence_hash.txt ## 📌 结论 This project demonstrates practical SOC analyst skills including: * Log analysis * Threat detection * Incident response * Evidence handling The lab successfully identified suspicious activity, analyzed threats, and implemented mitigation steps, simulating real-world SOC operations. --- ## 🚀 未来改进 * Integrate real-time alerting * Add automated response scripts * Use cloud-based SIEM tools * Expand attack simulations --- ## 👨‍💻 作者 Dhanavelan SOC Analyst Intern (Learner) --- ```

标签：AMSI绕过, Ask搜索, BurpSuite集成, ESC漏洞, Linux命令, PoC, SIEM部署, SOC分析师, SOC实验室, VirtualBox, VirusTotal, Wazuh, Wazuh SIEM, 取证, 告警分类, 威胁情报, 威胁检测, 安全事件, 安全实验室, 安全运营, 安全运营中心, 开发者工具, 开源SIEM, 异常检测, 扫描框架, 攻击模拟, 暴力破解, 红队行动, 网络安全, 网络安全实验, 网络映射, 网络流量分析, 虚拟环境, 证据收集, 身份验证日志, 隐私保护, 驱动签名利用