MED-DH-123/wazuh-detection-engineering-lab

# Wazuh 检测工程实验室 ## 项目概述 本项目是一个使用 Wazuh、Docker 和 Ubuntu 构建的本地网络安全检测工程实验室。 该实验室的目标是模拟真实的安全监控任务，收集端点遥测数据，生成安全警报，并在 Wazuh 仪表板中进行分析。 本项目展示了实用的 SOC 和蓝队技能，包括端点监控、身份验证日志分析、文件完整性监控、MITRE ATT&CK 映射以及警报调查。 ## 实验室架构 本实验室使用了： - macOS 宿主机 - Docker Desktop - Wazuh 单节点部署 - Ubuntu 24.04.4 LTS 虚拟机 - 安装在 Ubuntu 上的 Wazuh agent - 使用 NAT 的 VMware Fusion 网络 ## 使用的工具 - Wazuh - Docker - Docker Compose - Ubuntu 24.04 LTS - VMware Fusion - Linux 终端 - OpenSSH - Wazuh 文件完整性监控 - Wazuh 威胁狩猎仪表板 - MITRE ATT&CK 映射 ## 实现内容 ### 1. Wazuh 服务器部署 我使用官方的 Wazuh Docker 单节点环境部署了 Wazuh。 该部署包括： - Wazuh Manager - Wazuh Indexer - Wazuh Dashboard ### 2. Ubuntu 端点监控 我安装了一台 Ubuntu 24.04.4 LTS 虚拟机，并将其配置为受监控的端点。 Ubuntu 机器使用 Wazuh agent 连接到 Wazuh 服务器。 ### 3. 网络验证 我使用以下命令验证了 Ubuntu 端点与 Wazuh manager 之间的网络通信： - `ip route` - `ping` - `nc` - Wazuh agent 状态检查 ### 4. SSH 监控 我在 Ubuntu 端点上启用了 SSH，并验证了 SSH 服务状态。 这使得实验室能够生成与身份验证相关的日志。 ### 5. 身份验证失败检测 我模拟了失败的 sudo 身份验证尝试。 Wazuh 检测到了身份验证失败，并在 Threat Hunting 仪表板中显示了警报。 该警报已映射到 MITRE ATT&CK： - 技术：Password Guessing - MITRE ID：T1110 ### 6. 文件完整性监控 我配置了 Wazuh 文件完整性监控来监视一个测试目录： ``` /home/birousse/wazuh-fim-test ```

标签：Awesome, Cloudflare, Docker, Docker Compose, endpoint detection and response (EDR), MITRE ATT&CK, SSH监控, VMware, Wazuh, x64dbg, 安全告警分析, 安全实验室, 安全测试, 安全运营, 安全防御评估, 容器化部署, 扫描框架, 攻击性安全, 版权保护, 生成式AI安全, 端点监控, 系统管理, 网络安全, 虚拟机, 请求拦截, 身份验证失败检测, 隐私保护