edwinLotsu/cyber-siem-homelab

# 网络安全家庭实验室：SIEM 部署与威胁检测 一个实践性安全运营实验室，展示使用 Wazuh、Active Directory 和 Kali Linux 进行 SIEM 部署、端点监控、攻击模拟和检测工程。 ## 目标 - 部署企业级 SIEM 基础设施（Wazuh） - 使用 Sysmon 监控 Windows 端点 - 模拟真实世界攻击场景 - 开发自定义检测规则 - 将检测映射到 MITRE ATT&CK 框架 ## 实验室架构 ### 组件 - **Windows Server 2022** → Active Directory 域控制器（`lab.local`） - **Windows 10 Enterprise** → 加入域的被监控端点 - **Kali Linux** → 进攻性安全平台（攻击者模拟） - **Ubuntu Server 22.04** → Wazuh SIEM 基础设施（Manager + Indexer + Dashboard） ### 网络 - **仅主机网络**（`192.168.86.0/24`）→ 隔离实验室流量 - **NAT 网络**→ 用于更新和工具的互联网访问 ### IP 地址规划 | 系统 | IP 地址 | 角色 | |------|----------|------| | Windows Server 2022 | 192.168.86.128 | 域控制器 | | Windows 10 客户端 | 192.168.86.129 | 被监控端点 | | Kali Linux | 192.168.86.131 | 攻击机 | | Ubuntu SIEM | 192.168.86.130 | Wazuh 基础设施 | ## 已完成项目 ### 1. Wazuh SIEM 部署 **内容：** 在 Ubuntu Server 上部署多组件 SIEM 基础设施 **原因：** 实现集中化日志收集、关联与安全监控告警 **[查看项目 →](01-wazuh-siem-deployment/)** **关键成果：** - Wazuh Manager 安装并配置完成 - 基于 Elasticsearch 的索引器用于日志存储 - 基于 Web 的可视化仪表板 - 已部署代理至 2 个 Windows 端点（活跃状态 100%） ### 2. Sysmon 端点遥测 **内容：** 使用 Sysmon 增强 Windows 端点可见性，实现进程与网络监控 **原因：** 仅靠 Windows 事件日志会遗漏关键安全事件，Sysmon 填补了这一空白 **[查看项目 →](02-sysmon-deployment/)** **关键成果：** - 在 Windows Server 与 Windows 10 上部署 Sysmon - 启用网络连接日志记录（事件 ID 3） - 进程创建监控（事件 ID 1） - 通过测试场景验证配置 ### 3. 攻击模拟：Nmap 端口扫描 **内容：** 从 Kali 对 Windows 10 模拟网络侦察攻击 **原因：** 验证 SIEM 是否能检测端口扫描这一常见侦察技术 **[查看项目 →](03-attack-simulations/01-nmap-port-scan/)** **攻击详情：** ``` nmap -sT -4 -p 80,135,139,445,3389 192.168.86.129 ``` **检测结果：** - 约 1.5 秒内捕获 9 条 Sysmon 事件 ID 3 日志 - Wazum 时间线在扫描窗口期间显示明显峰值 - 映射到 MITRE ATT&CK T1046（网络服务扫描） ### 4. 攻击模拟：失败登录检测 **内容：** 生成失败认证尝试以测试暴力破解检测 **原因：** 凭证攻击是主要威胁之一，需验证日志记录与告警功能 **[查看项目 →](03-attack-simulations/02-failed-login-detection/)** **攻击详情：** ``` runas /user:lab\Administrator cmd ``` **检测结果：** - 捕获 Windows 事件 ID 4625（失败登录） - Wazuh 关联了多次失败尝试 - 可用于构建基于阈值的暴力破解告警 ## 工具与技术 | 类别 | 工具 | |------|------| | **SIEM** | Wazuh（Manager、Indexer、Dashboard） | | **端点监控** | Sysmon、Windows 事件日志 | | **基础设施** | Active Directory、Windows Server 2022、VMware | | **进攻工具** | Kali Linux、Nmap | | **操作系统** | Ubuntu Server、Windows 10、Windows Server 2022 | ## 展示技能 - SIEM 部署与配置 - 日志收集与集中监控 - 端点遥测工程（Sysmon） - 攻击模拟与红队技术 - 蓝队检测与响应 - MITRE ATT&CK 框架映射 - Windows Active Directory 管理 - Linux 系统管理 - 网络安全监控 ## 下一步计划 - [ ] 暴力破解攻击模拟（使用 Hydra 针对 RDP） - [ ] PowerShell 攻击检测（脚本块日志记录） - [ ] 网络流量捕获与关联（Wireshark + SIEM） - [ ] 自定义 Wazuh 检测规则 - [ ] 横向移动模拟 ## 文档结构 每个项目包含： - **README.md** → 概述与目标 - **Screenshots/** → 工作成果截图 - **Configs/** → 已脱敏的配置文件 - **Analysis.md** → 经验总结与检测方法论 ## 联系 **LinkedIn：** [Edwin Lotsu](https://www.linkedin.com/in/lotsuedwin) **简历：** [查看 PDF](#) ## 许可证 本项目采用 MIT 许可证授权 - 详细信息请参阅 [LICENSE](LICENSE) 文件。 **注意：** 本实验室环境仅用于教育目的。所有攻击模拟均在隔离的虚拟机环境中执行，不与生产系统连接。

标签：Active Directory, AMSI绕过, Cloudflare, Host-Only 网络, MITRE ATT&CK, Mutation, NAT 网络, PB级数据处理, Plaso, Sysmon, Terraform 安全, Wazuh, 主机隔离, 代理支持, 可视化, 告警, 域控, 威胁检测, 安全运维, 实验环境, 居家实验室, 攻击模拟, 日志收集, 日志聚合, 端点监控, 网络安全, 网络安全审计, 隐私保护, 驱动签名利用