Pat4rthur/sovereignMediaLabV2

# sovereignMediaLabV2 将一个功能性的 ARR 家庭实验室转变为一个分段、监控且具备事件感知能力的安全运营中心 (SOC) 作品集环境。 ## 执行概述 **目标：** 将一个运营中的 ARR 家庭实验室转换为一个具备集中式日志记录、检测工程和事件响应模拟能力的、文档完善的 SOC 风格环境。 **成果：** 一个完全仪表化的多容器实验室，展示了： - SIEM 部署和基于 Agent 的遥测数据收集 - 自定义检测规则工程 - 内部威胁模拟和失陷后分析 - 通过 VPN 分段实现的安全远程访问 - 与 CIS 基准对齐的系统加固 ## 环境架构 该实验室构建在 Proxmox Hypervisor 之上，托管着一个分段的 LXC 容器网络。 **核心组件：** - 9× LXC 容器 (ARR 技术栈 + 支撑服务) - Proxmox 宿主机 (网桥 + NAT 边界) - Wazuh SIEM (集中式日志摄取、检测、告警) - WireGuard VPN (受限的远程访问层) **安全模型：** - 基于每个容器的 UFW 微分段 - 默认拒绝入站策略 - 仅限 VPN 的管理访问 - 通过 Wazuh Agent 进行集中监控 ## 阶段 1：环境文档与安全基线 **目标：** 在现有的家庭实验室环境中建立已知良好的安全基线。 **执行操作：** - 审计了所有 9 个 LXC 容器的防火墙状态和配置偏差 - 识别并修复了 SABnzbd 和 Pi-hole 上未激活的 UFW 规则 - 标准化了防火墙策略： - 默认拒绝入站 - 允许出站流量 - SSH 仅限 Proxmox 宿主机子网访问 - Web UI 访问仅限于私有网络 - 生成了初始网络分段图 **关键学习：** - 实际系统状态通常与文档记录的配置存在差异 - 微分段提供了轻量但有效的横向移动控制 - 基线文档对于后期的事件重建至关重要 **产出物：** - [网络图](diagrams/network_architecture_v1.png) - [UFW 规则摘要](firewall/ufw_rules_summary.txt) ## 阶段 2：SIEM 部署 (Wazuh) **目标：** 部署集中式 SIEM 用于日志聚合和检测。 **执行操作：** - 在 WSL2 上通过 Docker Compose 部署了 Wazuh 4.11.0 - 配置了 OpenSearch 需求 (`vm.max_map_count`) - 通过自定义的 `lab-admin` 账户建立了 RBAC - 通过 `run_as` 配置解决了仪表板权限模型问题 - 验证了完整技术栈 (Manager、Indexer、Dashboard) 的功能 **关键学习：** - Wazuh 需要 Indexer 级别和 Dashboard 级别的 RBAC 对齐 - 容器化的 SIEM 部署在实验室环境中具有高度可复现性 - 初始配置问题通常源于权限分层，而非服务故障 **产出物：** - [Wazuh 仪表板概览](wazuh/screenshots/wazuh_dashboard_overview.png) - [Agent 状态页面](wazuh/screenshots/wazuh_agents_page.png) - [Docker 状态](wazuh/docker_ps_output.txt) ## 阶段 3：Agent 部署与日志收集 **目标：** 在 Proxmox 和所有 LXC 容器上部署 Wazuh Agent。 **执行操作：** - 在 Proxmox 宿主机上安装了 Wazuh Agent - 通过自动化脚本在 9 个 LXC 容器中批量部署了 Agent - 验证了所有 Agent 均已向 SIEM 报告 - 跨系统和应用层标准化了日志收集 **关键学习：** - 自动化减少了容器化环境中的配置偏差 - Agent 的一致性对于可靠的检测覆盖至关重要 - 初次部署成功并不能保证完整的遥测可见性 **产出物：** - [Agent 部署脚本](scripts/install_wazuh_agents_lxc.sh) - [所有 Agent 已激活](wazuh/screenshots/wazuh_agents_all_active.png) ## 阶段 4：日志富化与应用监控 **目标：** 将可见性扩展到 ARR 应用层日志。 **执行操作：** - 为 ARR 服务配置了 syslog 和 journald 摄取 - 跨容器标准化了服务监控 - 验证了来自 SABnzbd、Sonarr、Radarr 和 Prowlarr 的日志转发 **关键学习：** - 系统日志和应用日志需要独立的摄取策略 - Systemd 单元名称不一致可能会破坏监控管道 - 对于容器服务，journald 提供了比 syslog 更丰富的遥测数据 **产出物：** - [Sonarr 日志配置](wazuh/agent_configs/sonarr_ossec.conf) - [Journal 日志证据](wazuh/agent_logs/logcollector_journal.png) ## 阶段 5：检测工程 (自定义规则) **目标：** 为 ARR 特定的行为异常创建检测逻辑。 **执行操作：** - 开发了自定义 Wazuh 规则用于： - 可疑 DNS 查询 (.xyz, .top) - 在下载目录中的执行尝试 - 解决了 Wazuh 4.11 中的 XML 解析问题 - 使用 `wazuh-logtest` 验证了规则 - 确认了文件执行检测的实时告警生成 **关键学习：** - Wazuh 规则结构对解码器假设非常敏感 - 自定义检测需要使用测试工具进行迭代验证 - 应用层可见性显著提高了检测保真度 **产出物：** - [自定义规则文件](wazuh/local_rules.xml) - [规则验证输出](wazuh/screenshots/rule_100101_logtest.png) ## 阶段 6：漏洞检测 **目标：** 在容器集群中启用持续的 CVE 监控。 **执行操作：** - 启用了 Wazuh 漏洞检测器模块 - 配置了 Ubuntu OVAL 源集成 - 验证了漏洞扫描管道 **关键学习：** - 漏洞检测是由提供商驱动的，而非自动的 - OVAL 源的初始同步延迟是预期内的 - 持续扫描提供了基线风险可见性 **产出物：** - [漏洞配置](wazuh/ossec_vulnerability_config.xml) ## 阶段 7：安全远程访问 (WireGuard VPN) **目标：** 用零信任远程连接取代暴露的服务访问。 **执行操作：** - 部署了 WireGuard (WG-Easy) 进行 VPN 管理 - 将 VPN 路由严格限制为仅内部子网 - 验证了 VPN 隧道上的 UFW 执行情况 - 阻止了服务 UI 的直接 WAN 暴露 **关键学习：** - 必须通过 AllowedIPs 明确约束 VPN 路由 - 网络分段在加密隧道中依然得到执行 - VPN 不会绕过主机级别的防火墙策略 **产出物：** - [VPN 配置](vpn/wg_easy_allowed_ips.png) - [访问测试证据](vpn/vpn_sonarr_access.jpeg) ## 阶段 8：事件响应模拟 **目标：** 模拟完整的失陷后攻击链并验证检测覆盖率。 **场景：** 使用泄露的 SSH 凭据穿透内部网络、提升权限并尝试权限维持。 **模拟阶段：** 1. 通过 SSH 暴力破解进行初始访问 2. 通过网络扫描进行内部侦察 3. 通过 sudo 尝试提权 4. 通过 su 尝试 Root 提权 **结果：** - 所有提权尝试均在 OS 级别被阻止 - 所有阶段均通过 Wazuh 检测到 (内置规则) - 识别出一个遥测盲区 (内核日志摄取) - MASQUERADE NAT 影响了初始归因准确性 **关键学习：** - 默认的 SIEM 规则足以进行检测 - 可见性盲区是主要弱点，而非检测逻辑 - 需要主机级别的日志记录来重建网络活动 **产出物：** - [完整事件报告](incident_response/IR_SABnzbd_Malware.md) ## 阶段 9：合规加固 (CIS 基准测试) **目标：** 使容器配置与 CIS Ubuntu 22.04 基准对齐。 **执行操作：** - 映射了所有容器上的控制措施 - 应用了基线加固 (SSH、内核参数、服务、权限) - 通过 bash 脚本自动化了合规部署 - 记录了范围限制 (auditd 约束) **关键学习：** - 合规框架为安全态势验证提供了结构 - 自动化确保了分布式系统间的一致性 - 并非所有控制措施在容器化环境中都技术适用 **产出物：** - [合规性矩阵](compliance/compliance-matrix.md) - [加固脚本](compliance/cis-hardening-script.sh) ## 道德使用声明 此环境严格用于教育和作品集展示目的。 所有测试数据均为合成数据或在本地生成。未针对任何外部系统进行测试。

标签：ARR 套件, CIS 安全基线, Incident Response, IP 地址批量处理, LXC 容器, meg, PE 加载器, Proxmox, SIEM 部署, SOC 家庭实验室, SOC 环境建设, UFW 防火墙, Wazuh, WireGuard VPN, 事后分析, 信息安全, 安全合规, 安全实验室, 安全运营中心, 应用安全, 插件系统, 横向移动防御, 端点安全, 系统加固, 网络代理, 网络安全, 网络安全审计, 网络微隔离, 网络映射, 蜜罐, 补丁管理, 证书利用, 请求拦截, 隐私保护, 集中式日志