Singaraju-Rohith-Kumar/SOC-Home-Lab-Using-WAZUH-SIEM

# 🛡️ 使用 Wazuh 搭建 SOC 家庭实验室 本项目记录了使用 Wazuh 搭建和运行 **安全运营中心（SOC）家庭实验室** 的过程。目标是超越单纯安装工具，真正理解检测、日志记录和调查在真实环境中的运作方式。 ## 🎯 目标 * 从零开始构建一个可运行的 SIEM 实验室 * 了解日志的生成和处理方式 * 创建自定义检测规则 * 模拟攻击者行为并进行分析 * 学习 SOC 分析师如何调查事件 ## 🧩 架构概览 该实验室包含三个主要组件： * **Wazuh Server (Ubuntu 虚拟机)** → SIEM (Manager + Indexer + Dashboard) * **Windows 终端** → 日志源 (Wazuh Agent + Sysmon) * **Kali Linux** → 用于模拟的攻击机 ### 🔄 数据流 ``` Attacker (Kali) ↓ Windows Endpoint ↓ Wazuh Agent ↓ Wazuh Manager ↓ Wazuh Indexer ↓ Wazuh Dashboard ``` ## ⚙️ 设置摘要 * 在 Ubuntu 虚拟机上安装 Wazuh（一体化部署） * 将 Windows 系统作为代理接入 * 集成 Sysmon 以获取详细遥测数据 * 配置日志收集并验证仪表盘可见性 有关完整的设置步骤，请参阅： 📁 `setup/installation_steps.md` ## 🔥 攻击模拟 为了测试检测能力，模拟了以下场景： * 暴力破解登录尝试 * 账户发现 (`net user`, `whoami`) * PowerShell 执行 * 使用 Kali Linux 进行网络扫描 详细信息请参阅： 📁 `attack-scenarios/attack_scenarios.md` ## 🛡️ 已实现的检测规则 创建了自定义规则以检测： * **暴力破解攻击**（多次登录失败） * **可能的账户失陷**（失败 → 成功模式） * **账户发现活动** 规则文档位于： 📁 `detection-rules/detection_rules.md` ## 🔍 日志分析 * 使用 Wazuh 仪表盘分析日志 * 观察命令行活动和进程行为 * 将检测映射到 **MITRE ATT&CK 技术** * 练习将事件作为时间线而非孤立告警来阅读 示例日志： 📁 `logs/sample_logs.md` ## 📸 截图 本项目包含展示以下内容的截图： * 仪表盘概览 * 代理连接状态 * 安全告警（暴力破解检测） * 日志分析（命令行详细信息） * 自定义规则配置 * 来自 Kali 的攻击模拟 📁 可查看位置：`screenshots/` ## 🧠 关键收获 * 检测依赖于日志的可用性 * SIEM 基于模式运作，而非单一事件 * 关联对于有意义的告警至关重要 * 细微的配置错误可能导致系统故障 * 调试是真实 SOC 工作的重要组成部分 ## ⚠️ 遇到的挑战 * 导致 Wazuh manager 崩溃的 XML 语法错误 * 代理连接问题 * 虚拟机之间的网络配置问题 * 理解关联规则并对其进行调优 ## 🚀 成果 该项目帮助我理解了完整的 SOC 工作流程： ``` Attack → Log Generation → Detection → Investigation ``` 它将我的关注点从仅仅运行工具转移到了真正理解安全监控在实践中的运作方式。 ## 🔄 未来改进 * 添加更高级的检测规则 * 模拟更真实的攻击场景 * 集成威胁情报 * 改进关联并减少误报 ## 📊 结果 - 使用自定义 Wazuh 规则检测到 5 次以上暴力破解登录尝试 - 针对可疑登录行为生成告警（失败 → 成功模式） - 分析了来自 Windows 终端和 Sysmon 的 1000 多条日志条目 - 识别出 PowerShell 执行和账户枚举活动 - 成功将多个事件映射到 MITRE ATT&CK 技术 ## 📌 结论 这个 SOC 实验室是学习网络安全基础知识的实践方法。它为检测工程、日志分析和攻击者行为提供了实际接触机会——弥合了理论与实践以及现实世界安全运营之间的差距。

标签：AMSI绕过, Cloudflare, Homelab, HTTP/HTTPS抓包, IPv6, MITRE ATT&CK, OpenCanary, PoC, PowerShell, Sysmon, Wazuh, Windows Endpoint, 云存储安全, 关联规则, 多阶段攻击, 威胁检测, 安全信息与事件管理, 安全运营中心, 实验室搭建, 库, 应急响应, 态势感知, 搜索引擎爬取, 攻防模拟, 暴力破解, 红队行动, 网络安全实验, 网络扫描, 网络映射, 自定义规则, 账户发现