mariani-francesco/Siem-incident-response-lab-wazuh

# 🚨 SIEM 事件响应实验室 ## 概述 本项目在使用 SIEM 平台的受控实验室环境中模拟了一次真实的网络安全事件。 其目标是演示如何**收集、关联和分析**安全事件，从而检测并响应潜在的入侵行为。 ## 模拟事件 本实验室模拟了一起涉及未授权访问和权限提升的安全事件： - 目标系统上的多次身份验证失败尝试 - 目标系统上成功的 SSH 身份验证 - 通过 `sudo` 执行特权命令 - 创建新用户账户作为持久化机制 - 由 SIEM 执行的日志收集与关联 SIEM 检测到可疑的身份验证模式和权限提升活动。 详细的逐步分析可在 `phases/` 目录中找到。 ## 工作流程 本项目按以下阶段进行结构划分： 1. 环境搭建 2. Wazuh 安装 3. Agent 设置 4. 安全事件检测 5. 日志分析与事件调查 6. 最终报告 每个阶段都记录了**技术配置和分析推理**过程。 ## 实验架构 该环境由三台虚拟机组成： * **SIEM 平台：** Wazuh 服务器 * **监控主机：** Ubuntu 服务器 * **攻击机：** Kali Linux ### 网络配置 * NAT（互联网接入） * Host-Only 网络（虚拟机之间的内部通信） ## 你将在 `phases/` 中找到的内容 * 逐步的 SIEM 部署与配置 * 真实日志样本 * 身份验证异常与权限提升活动的检测 * 事件关联与事件调查工作流程 * 包含发现与结论的最终事件报告 ## 展示的核心技能 * SIEM 部署与配置 * 日志收集、解析与分析 * 安全事件检测与告警 * 事件调查方法论 * 威胁识别与解读 * 技术报告与沟通 ## 使用的工具 * Wazuh * Ubuntu Server * Kali Linux ## 项目成果 本项目展示了在以下方面的实操技能： * 安全监控与集中式日志记录 * 未授权访问尝试的检测 * 身份验证日志与攻击模式的分析 它突出了如何使用像 Wazuh 这样的 SIEM 在真实场景中**及早识别威胁并支持事件响应活动**。

标签：CSV导出, Homelab, SSH暴力破解, Ubuntu Server, Wazuh, 内存分配, 安全事件响应, 安全事件调查, 安全报告, 安全运营, 家庭实验室, 扫描框架, 技术报告, 日志关联, 未授权访问, 特权升级, 红队行动, 网络安全, 虚拟化环境, 身份验证异常, 隐私保护