kristrbl/siem-wazuh-lab

# SIEM威胁检测实验室 — Wazuh ## 目标 部署一个SIEM，采集Windows和Linux端点的日志，模拟攻击场景，并使用Windows事件ID对告警进行优先级排序。展示核心SOC一级技能：日志分析、告警优先级排序和检测规则编写。 ## 环境 | 组件 | 详情 | |---|---| | SIEM | Wazuh 4.x（Manager + Dashboard） | | 代理1 | Ubuntu Server 22.04 | | 代理2 | Windows 10虚拟机 | | 攻击虚拟机 | Kali Linux | | 平台 | VirtualBox（仅主机网络） | ## 实验环境搭建 ### 1. 部署Wazuh Manager ``` # 在 Ubuntu Server 上安装 Wazuh curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash ./wazuh-install.sh -a ``` ### 2. 在Windows 10上安装Wazuh代理 - 从Wazuh仪表板下载Windows代理MSI安装包 - 将代理注册到管理器的IP地址 - 配置`ossec.conf`以转发Windows安全、系统和应用程序日志 ### 3. 在Ubuntu上安装Wazuh代理 ``` # 添加 Wazuh 仓库并安装代理 curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add - echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | sudo tee /etc/apt/sources.list.d/wazuh.list sudo apt update && sudo apt install wazuh-agent sudo systemctl enable wazuh-agent && sudo systemctl start wazuh-agent ``` ## 攻击模拟 ### 模拟1 — SSH暴力破解 ``` # 从 Kali VM 连接到 Ubuntu 代理 hydra -l root -P /usr/share/wordlists/rockyou.txt ssh:// ``` **预期告警：** 规则5551 — 多次SSH登录失败 **相关事件：** `/var/log/auth.log` — `Failed password for root` ### 模拟2 — Windows登录失败 - 在Windows虚拟机上手动尝试5次以上登录失败 - 锁定账户 **预期告警：** 规则18152 — 多次Windows登录失败 **相关事件ID：** `4625` — 账户登录失败 ### 模拟3 — 新建本地管理员账户 ``` net user hacker P@ssword123 /add net localgroup administrators hacker /add ``` **预期告警：** - 规则18154 — 新建Windows账户（事件ID 4720） - 规则18155 — 用户被添加到特权组（事件ID 4732） ## 检测规则 将自定义规则添加到 `/var/ossec/etc/rules/local_rules.xml` 以减少误报： ``` 5551 Brute force attack — more than 8 attempts from same IP T1110 ``` ## 关键发现 | 事件 | 事件ID | Wazuh规则 | 严重性 | 优先级判断 | |---|---|---|---|---| | SSH暴力破解（Kali → Ubuntu） | auth.log | 5551 | 高 | 调查源IP，如果是外部则进行阻断 | | Windows登录失败 | 4625 | 18152 | 中 | 检查是用户失误还是有针对性的攻击 | | 新建本地管理员账户 | 4720 | 18154 | 高 | 升级处理 — 未经授权的权限提升 | | 用户被添加到管理员组 | 4732 | 18155 | 高 | 升级处理 — 权限提升 | **平均检测时间（MTTD）：** 暴力破解约30秒，账户创建约15秒 **已识别的误报：** Wazuh将计划任务运行器标记为重复的身份验证失败 — 已调整规则以将已知服务账户列入白名单。 ## 截图 参见 `/screenshots/` 文件夹： - `wazuh-dashboard-agents.png` — 已连接的活动代理 - `alert-brute-force.png` — SSH暴力破解告警触发 - `alert-new-admin.png` — 新建管理员账户告警 - `custom-rule.png` — 本地规则编辑器 - `event-log-4625.png` — Wazuh中的原始Windows事件 ## 简历要点 - 在家庭实验环境中部署了Wazuh SIEM，并配置Windows和Linux端点代理以集中转发日志进行监控 - 模拟了暴力破解和权限提升攻击；使用Windows事件ID（4625、4720、4732）对告警进行了优先级排序，并在结构化事件报告中记录发现 - 编写并调整了自定义Wazuh检测规则以减少误报；将检测映射到MITRE ATT&CK框架（T1110 — 暴力破解） ## 参考 - [Wazuh文档](https://documentation.wazuh.com) - [MITRE ATT&CK T1110 — 暴力破解](https://attack.mitre.org/techniques/T1110/) - [Windows安全事件ID — 终极指南](https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/)

标签：AMSI绕过, Linux日志, PoC, SOC Tier 1, VirtualBox, Wazuh, Windows 10, Windows日志, Windows登录失败, 事件ID, 告警分析, 威胁检测, 安全演练, 安全运营, 实验室环境, 扫描框架, 日志收集, 日志汇聚, 日志采集, 暴力破解, 本地管理员创建, 检测规则, 端点检测, 网络安全审计, 网络资产发现, 自定义规则, 虚拟化