bathani0909/wazuh-soc-detection-lab

GitHub: bathani0909/wazuh-soc-detection-lab

基于 Wazuh 搭建的 SOC 检测实验室,在跨平台端点上实践检测规则开发、告警分析与事件调查的完整蓝队工作流。

Stars: 0 | Forks: 0

# Wazuh SOC 检测实验室 ![Platform](https://img.shields.io/badge/Platform-Wazuh-blue) ![Focus](https://img.shields.io/badge/Focus-SOC%20Detection%20Engineering-green) ![OS](https://img.shields.io/badge/Endpoints-Windows%20%7C%20Ubuntu-orange) ![Status](https://img.shields.io/badge/Status-Completed-success) ## 项目概述 本仓库记录了一个**基于 Wazuh 的真实 SOC 实验室**,旨在受控环境中模拟和调查安全活动。 该实验室旨在实践核心蓝队工作流程,包括: - **SIEM 告警监控** - **检测工程** - **自定义 Wazuh 规则创建** - **Windows 和 Linux 遥测分析** - **事件调查** - **MITRE ATT&CK 映射** - **攻击者活动模拟** 本项目反映了在**初级 SOC 分析师 / 蓝队 / 检测工程**环境中所预期的工作流程类型。 ## 展示的核心技能 - Wazuh 部署与配置 - SIEM 告警分析 - 自定义规则开发 - 使用 Sysmon 进行 Windows 日志分析 - Linux 日志分析与权限提升监控 - 安全事件分诊 - 事件文档记录 - 威胁检测验证 - 符合 ATT&CK 的调查工作流程 ## 实验室架构 ### 核心基础设施 | 系统 | 角色 | 操作系统 | IP 地址 | |--------|------|----|------------| | Wazuh Server | SIEM / 检测平台 | Amazon Linux 2023 | `192.168.101.136` | | Ubuntu 端点 | Linux 受控主机 | Ubuntu 24.04.4 LTS | `192.168.101.139` | | Windows 端点 | Windows 受控主机 | Windows Server 2025 Datacenter Evaluation | `192.168.101.133` | | Kali Linux | 攻击模拟主机 | Kali GNU/Linux Rolling | `192.168.101.128` | ### 已安装的安全组件 #### Wazuh 服务器 - Wazuh Manager - Wazuh Indexer - Wazuh Dashboard #### Ubuntu 端点 - Wazuh Agent - Suricata #### Windows 端点 - Wazuh Agent - Sysmon #### 虚拟化 - VMware ## 仪表板概述 ![Wazuh 仪表板概述](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/795a77b476173954.png) ## 检测覆盖范围 本实验室包含**已在环境中验证的有效检测**。 ### Linux 检测 #### 1) SSH 无效用户身份验证尝试 - **规则 ID:** `100201` - **严重性:** 高 - **MITRE ATT&CK:** `T1110.001` (密码猜测),`T1021.004` (SSH) **检测目标:** 识别使用无效用户名的失败 SSH 登录尝试,这可能表明存在暴力破解或侦察活动。 ### 检测示例 – SSH 无效用户身份验证尝试 ![Ubuntu SSH 无效用户告警](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/6d99714308174034.png) #### 2) 可疑的 Sudo 权限提升 - **规则 ID:** `100203` - **严重性:** 高 - **MITRE ATT&CK:** `T1548.003` (Sudo 和 Sudo 缓存) **检测目标:** 检测使用 `sudo` 进行的潜在可疑权限提升尝试。 #### 3) 危险敏感文件修改 - **规则 ID:** `100204` - **严重性:** 危急 - **MITRE ATT&CK:** `T1565.001` (存储数据操纵) **检测目标:** 检测对敏感文件的未经授权或高风险修改。 ### Windows 检测 (WS-25) #### 4) 可疑的 PowerShell 执行 - **规则 ID:** `100304` - **严重性:** 高 - **MITRE ATT&CK:** `T1059.001` (PowerShell) **检测目标:** 识别通过 Sysmon 捕获并传输到 Wazuh 的可疑或类似攻击者的 PowerShell 活动。 ### 检测示例 – 可疑的 PowerShell 执行 ![Windows 可疑 PowerShell 告警](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/c092504937174111.png) ## 调查场景 本仓库包含针对已验证检测场景的 SOC 风格调查。 ### 包含的调查工作流程 - Linux 身份验证异常审查 - Linux 权限提升分析 - Linux 文件完整性告警调查 - Windows PowerShell 执行分诊 每项调查侧重于: - 告警上下文 - 事件证据 - 分析师解释 - 检测逻辑 - MITRE ATT&CK 映射 - 分诊结果 ## 仓库结构 ``` wazuh-soc-detection-lab/ ├── README.md ├── architecture/ ├── detections/ ├── docs/ ├── investigations/ ├── logs/ ├── rules/ ├── screenshots/ └── simulations/ ```
标签:AMSI绕过, Cloudflare, Conpot, CSV导出, HTTP工具, Metaprompt, MITRE ATT&CK, SIEM告警监控, SOC实验室, Suricata, Sysmon, VMware, Wazuh, Windows安全, x64dbg, 初级安全分析师, 协议分析, 威胁检测, 子域名变形, 安全事件调查, 安全运营中心, 安全遥测, 库, 应急响应, 插件系统, 无线安全, 权限提升, 现代安全运营, 端点安全, 网络攻击模拟, 网络映射, 补丁管理, 规则编写