AustinRusch92/home-siem-lab
GitHub: AustinRusch92/home-siem-lab
基于 Wazuh 的家庭安全实验室项目,通过模拟真实攻击场景并编写完整的事件响应文档,帮助用户掌握 SOC 分析师核心的威胁检测与日志分析技能。
Stars: 0 | Forks: 0
# 家庭实验室 SIEM — 威胁检测与事件响应
一个用于模拟、检测和记录真实世界攻击场景的个人安全实验室,采用开源 SIEM 技术栈构建。本项目体现了在日志分析、警报分诊和事件文档记录方面的实际操作经验——这些是 SOC 分析师角色的核心技能。
## 实验室架构
| 组件 | 工具 | 角色 |
|---|---|---|
| SIEM & EDR | Wazuh 4.14 | 检测、关联、警报 |
| 日志存储 | OpenSearch | 索引和搜索 |
| 仪表板 | Wazuh Dashboard | 可视化与分诊 |
| 终端节点(受监控) | 通过 Wazuh agent 的主机 OS | 真实遥测数据源 |
| 攻击模拟 | Kali Linux VM | 受控威胁生成 |
| 虚拟机监控程序 | VirtualBox | 单笔记本虚拟机托管 |
**主机限制:** 整个实验室在一台使用 VirtualBox 的笔记本电脑上运行。Wazuh 部署在 Ubuntu 22.04(4 GB 内存)上。Kali Linux 攻击虚拟机位于隔离的 Host-Only 网络段上。
## 检测场景
每个场景都对应一个 MITRE ATT&CK 技术,并包含带有时间线、IOC 和补救建议的完整事件报告。
| # | 场景 | MITRE 技术 | 报告 |
|----|---|---|---|
| 1 | 通过 Hydra 进行 SSH 暴力破解 | T1110.001 — 暴力破解:密码猜测 | [IR-001](./incident-reports/IR-001-ssh-brute-force.md) |
| 2 | 通过 Nmap 进行网络侦察 | T1046 — 网络服务发现 | [IR-002](./incident-reports/IR-002-nmap-recon.md) |
| 3 | 本地权限提升 | T1548 — 滥用提权控制机制 | [IR-003](./incident-reports/IR-003-privilege-escalation.md) |
| 4 | 文件完整性监控警报 | T1565 — 数据篡改 | [IR-004](./incident-reports/IR-004-fim-alert.md) |
## 展现的技能
- SIEM 部署与配置 (Wazuh)
- 基于 agent 的端点遥测 (Linux 和 Windows)
- 警报分诊与日志分析
- 攻击模拟与检测验证
- 事件文档编写与报告
- MITRE ATT&CK 框架映射
## 背景
持有 CompTIA Security+ 认证的网络安全专业学生,拥有 Tier 2 桌面支持经验。构建此实验室旨在弥合理论安全知识与实际动手检测及响应工作之间的差距。每份事件报告的编写均旨在反映真实的 SOC 文档标准——包括时间线、IOC、根本原因和补救措施——而不仅仅是触发警报的截图。
## 仓库结构
```
home-siem-lab/
├── README.md
├── architecture/
│ └── lab-overview.md # Detailed architecture and design decisions
├── detections/
│ ├── brute-force-ssh.md # Detection rule and tuning notes
│ ├── port-scan-detection.md
│ ├── privilege-escalation.md
│ └── file-integrity.md
└── incident-reports/
├── IR-001-ssh-brute-force.md
├── IR-002-nmap-recon.md
├── IR-003-privilege-escalation.md
└── IR-004-fim-alert.md
```
## 工具与技术
`Wazuh` `OpenSearch` `Ubuntu 22.04` `Kali Linux` `VirtualBox` `Sysmon` `Hydra` `Nmap` `MITRE ATT&CK`
标签:AMSI绕过, Cloudflare, CSV导出, EDR, Home Lab, IT运维, MITRE ATT&CK, OISF, Socks5代理, SOC分析师, VirtualBox, Wazuh, x64dbg, 事件响应报告, 勒索软件防御, 协议分析, 告警分诊, 威胁检测, 安全实验室, 安全运营, 库, 应急响应, 扫描框架, 技能实践, 插件系统, 攻击模拟, 日志管理, 权限提升, 端点安全, 网络安全, 脆弱性评估, 补丁管理, 隐私保护, 驱动签名利用