agent3302/End-to-End-SOC-Lab-Wazuh-SIEM-XDR-with-Shuffle-SOAR-and-Threat-Detection-Use-Cases

# Wazuh XDR-SIEM 实验：SOAR 自动化与检测工程 本项目是一个完整的 SOC 实验室，使用 Wazuh（SIEM/XDR）和 Shuffle（SOAR）构建。它展示了日志收集、使用 Sysmon 进行端点可见性、自定义检测规则开发以及自动化事件响应流程。该实验室模拟真实世界的攻击场景，并将检测结果映射到 MITRE ATT&CK 技术。 # 目标 - 构建一个功能性的 SIEM/XDR 环境 - 收集并分析端点日志 - 开发自定义检测规则 - 自动化告警分类与响应 - 模拟真实世界的攻击场景 # 架构 - Wazuh 服务器（Ubuntu 虚拟机） - Wazuh 代理（Windows 11 端点） - Sysmon（增强日志记录） - Shuffle SOAR（基于 Docker 的自动化） # 安装与设置 ## Wazuh 安装 安装 Ubuntu 服务器 运行 Wazuh 一体化脚本 ## 代理部署 在 Windows 上安装 Wazuh 代理 连接到管理端 ## Sysmon 集成 安装 Sysmon 将日志转发到 Wazuh ## Shuffle 设置 通过 Docker 部署 配置 Webhook 集成 # 数据收集与可见性 - Windows 安全日志 - Sysmon（进程、网络、文件活动） - 身份验证事件 - 命令行活动 # 检测工程 示例： 61603 powershell 可疑的 PowerShell 执行 检测内容 为何重要 MITRE 映射（例如 T1059） # 攻击模拟 - PowerShell 执行 - 暴力登录尝试 - LOLBins（certutil、bitsadmin） - 可疑进程链 - 工具：Atomic Red Team # SOAR 自动化（Shuffle） - 告警 → Webhook → Shuffle - 自动标记告警（良性/恶意） - 发送通知（邮件/Slack） - 模拟响应（阻断 IP、隔离主机） # 事件响应流程 - 告警触发 - 分类（误报 vs 真实） - 丰富（日志，上下文） - 分类（良性/恶意） - 响应（自动/手动） # 示例告警与截图 - Wazuh 仪表板告警 - Sysmon 日志 - Shuffle 剧本 # 挑战与收获 - 处理误报并优化检测规则 - 将 Sysmon 日志集成到 Wazuh - 设计有效的 SOAR 工作流 - 理解告警分类与分级 # 后续改进 - 增加威胁情报集成 - 提升检测覆盖范围 - 实现类似 EDR 的响应操作 - 扩展 MITRE ATT&CK 映射 # 结论 本实验室展示了实用的 SOC 技能，包括 SIEM 部署、检测工程和安全自动化，模拟了真实的蓝队操作。

标签：AMSI绕过, Atomic Red Team, Cloudflare, DNS 解析, Docker, FTP漏洞扫描, MITRE ATT&CK, PE 加载器, PowerShell执行, Shuffle, SOAR, Sysmon, Wazuh, Webhook集成, Windows 11, 协议分析, 告警分诊, 告警规则, 响应编排, 威胁检测, 安全编排, 安全运营中心, 安全防御评估, 攻击模拟, 数据泄露检测, 日志采集, 权限提升, 横向移动, 真实场景模拟, 端点安全, 编程规范, 网络安全审计, 网络映射, 自动化响应, 补丁管理, 请求拦截, 驱动签名利用