patrickcool4776/wazuh-soc-lab

# wazuh-soc-lab SOC 主实验室 — 带有攻击模拟、自定义检测规则和 MITRE ATT&CK 映射的 Wazuh SIEM 部署，适用于 Kali Linux 和 Windows 11 端点 # 🛡️ Wazuh SIEM 主实验室 — SOC 分析员项目 **持续时间：** 4 个周末 **目标：** 构建一个功能完整的 SOC 主实验室，以模拟真实的威胁检测和事件响应 ## 📋 目录 - [实验室架构](#lab-architecture) - [使用的技术](#technologies-used) - [攻击模拟](#attack-simulations) - [自定义检测规则](#custom-detection-rules) - [MITRE ATT&CK 映射](#mitre-attck-mapping) - [漏洞检测](#vulnerability-detection) - [合规性映射](#compliance-mapping) - [故障排除](#troubleshooting) ## 🏗️ 实验室架构 ┌─────────────────────────────────────────┐ │ 主机机器 │ │ Windows 11 PC │ │ VirtualBox 虚拟机监控程序 │ └──────────┬──────────────────────────────┘ │ 仅主机网络 192.168.56.0/24 ┌──────┼──────────────┐ │ │ │ ▼ ▼ ▼ ┌───────┐ ┌──────┐ ┌──────────────┐ │Wazuh │ │Kali │ │Windows 11 │ │服务器 │ │Linux │ │企业版 │ │.56.106│ │.56.107│ │.56.109 │ │SIEM │ │攻击 │ │受害者 │ ## 🖥️ 虚拟机规格 | 虚拟机 | 操作系统 | IP | 角色 | 内存 | |---|---|---|---|---| | Wazuh 服务器 | Amazon Linux 2023 | 192.168.56.106 | SIEM 管理器 | 4GB | | Kali Linux | Kali 2024.3 | 192.168.56.107 | 攻击者 | 2GB | | Windows 11 | Windows 11 企业版 | 192.168.56.109 | 受害者 | 4GB | ## 🔧 使用的技术 - **Wazuh v4.14.4** — 开源 SIEM/XDR - **VirtualBox** — 虚拟机监控程序 - **Kali Linux 2024.3** — 攻击平台 - **Windows 11 企业版** — 被监控端点 - **Sysmon v15.20** — Windows 遥测 - **Hydra** — 暴力破解工具 - **MITRE ATT&CK** — 威胁分类 ## ⚔️ 攻击模拟 ### 1 — SSH 暴力破解 **MITRE:** T1110 | **告警:** 1,871 | **规则:** 5503, 5551, 5557, 5710, 5758, 5760 ``` hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.106 -V -t 4 ``` ### 2 — RDP 暴力破解 **MITRE:** T1110 | **规则:** 60122 — 登录失败 ``` hydra -l Administrator -P /usr/share/wordlists/rockyou.txt rdp://192.168.56.109 -V -t 4 ``` ### 3 — 后门用户创建 **MITRE:** T1136 | **规则:** 60109, 60110, 60170, 自定义 100003 ``` net user hacker helloimhere /add ``` ### 4 — 防火墙禁用 **MITRE:** T1562.004 | **战术:** 防御规避 ``` netsh advfirewall set allprofiles state off ``` ### 5 — EICAR 恶意软件测试 **MITRE:** T1204 | **FIM 事件:** 2,680+ 从 eicar.org 下载 — Windows Defender 立即检测到 ### 6 — 可疑文件投放 **MITRE:** T1204 | **规则:** 550, 554 ``` echo "test" > C:\Users\testingmalaada.exe ``` ## 📝 自定义检测规则 ``` 60122 Multiple RDP failures - Possible Brute Force Attack T1110 5710 Multiple SSH failures - Possible Brute Force Attack T1110 60109 Suspicious - user account created on Windows T1136 60024 CRITICAL - Windows Firewall has been disabled T1562 2502 Multiple authentication failures - Possible Attack T1110 ``` ## 🎯 MITRE ATT&CK 映射 | 技巧 | 名称 | 触发原因 | |---|---|---| | T1110.001 | 暴力破解 | SSH + RDP Hydra 攻击 | | T1136 | 创建账户 | net user /add 命令 | | T1562.004 | 禁用防火墙 | netsh advfirewall off | | T1204 | 用户执行 | EICAR 下载 | | T1484 | 域策略修改 | 组策略更改 | | T1078 | 有效账户 | 登录尝试 | ## 🔍 漏洞检测 ### Kali Linux 代理 | 严重性 | 数量 | |---|---| | 严重 | 4 | | 高 | 42 | | 中 | 58 | | 低 | 5 | 严重 CVE: CVE-2024-12797, CVE-2026-26007, CVE-2022-4510, CVE-2023-26112 ### Windows 11 代理 | 严重性 | 数量 | |---|---| | 严重 | 2 | | 高 | 219 | | 中 | 81 | | 低 | 5 | ## 📊 合规性映射 每个告警自动映射到： - **PCI DSS** — 文件完整性、访问控制 - **GDPR** — IV_35.7.d, IV_32.2 - **HIPAA** — 164.312.b, 164.312.c.1 - **NIST-800-53** — AU.6, AC.7, SI.7 - **TSC** — CC6.1, CC6.8, CC7.2, CC7.3 ## 🔧 故障排除 ### SSH 告警未出现 Wazuh OVA 使用 journald 而非 auth.log — 已修复 ossec.conf： ``` journald journald ``` ### 虚拟机无网络连接 添加了 NAT 适配器作为第二个网络接口，与仅主机适配器并行 ### FIPS 模式阻止 SSH 更改攻击方法 — Kali 攻击 Windows 11 而非 Wazuh 服务器 ### 自定义防火墙规则缺口 父 SID 60024 在此 Wazuh 版本中不对防火墙事件触发 — 记录为检测缺口 ## 🔮 下一步计划 - 部署蜜罐以捕获真实的互联网攻击流量 - 集成 Shuffle SOAR 以实现自动告警响应 - 添加 MISP 威胁情报源 - 安装 VirusTotal API 集成 └───────┘ └──────┘ └──────────────┘

标签：AMSI绕过, ATT&CK映射, Cloudflare, FTP漏洞扫描, MITRE ATT&CK, VirtualBox, Wazuh, Windows 11, 主机只网络, 合规映射, 威胁检测, 安全实验室, 安全演练, 安全编排, 安全运营中心, 家庭实验室, 攻击模拟, 日志采集, 检测规则开发, 端点取证, 端点安全, 网络映射, 网络隔离, 自定义检测规则, 虚拟化, 补丁管理, 速率限制处理, 驱动签名利用