FacundoMfernandez/wazuh-snort-soc-lab

# wazuh-snort-soc-lab Blue Team 实验室：使用 Wazuh SIEM + Snort IDS 检测真实攻击：Nmap 扫描、SSH 暴力破解、PowerShell 编码命令。 # SOC 实验室 — Wazuh SIEM + Snort IDS ## 🎯 目标 搭建一个功能完备的 SOC 实验室，使用 Wazuh 作为 SIEM，Snort 作为 IDS，以检测、关联和响应模拟的真实攻击。验证针对常见 MITRE ATT&CK 技术的检测能力。 ## 🧪 环境 - **Wazuh Manager**: Ubuntu 22.04 LTS - **Agentes (代理)**: Windows 10 + Kali Linux (模拟攻击者) - **IDS**: Snort 配置为 inline 模式 - **Dashboard**: Wazuh + Kibana - **网络**: 隔离的实验室环境 ## 🔁 项目阶段 ### 1. 基础设施部署 安装和配置 Wazuh Manager，在 Windows 和 Linux 端点上部署代理，集成 Kibana 进行可视化。 ### 2. 配置 Snort IDS 以 IDS 模式安装 Snort，配置自定义和社区规则，将告警与 Wazuh 集成以实现集中关联。 ### 3. 攻击模拟 从 Kali Linux 对受监控的端点执行受控攻击： - **完整的 Nmap 扫描** (-sV -A) → 侦查检测 - **SSH 暴力破解** → 多次身份验证失败检测 - **PowerShell 编码命令** → 可疑执行检测 - **横向移动** → 主机间移动检测 ### 4. 检测分析与调优 评估开箱即用的检测能力与自定义规则的对比。对 decoders 和 rules 进行调优，以减少误报并提高覆盖率。 ## 🛠️ 使用的工具 | 工具 | 在项目中的用途 | |---|---| | Wazuh | SIEM — 事件和告警关联 | | Snort | IDS — 恶意流量检测 | | Kibana | 可视化和仪表板 | | Kali Linux | 模拟攻击平台 | | Nmap | 侦查和端口扫描 | | Hydra | 凭证暴力破解 | | Suricata | 辅助 IDS (对比阶段) | ## 🛡️ MITRE ATT&CK 映射 | 模拟攻击 | ATT&CK ID | Wazuh 检测 | |---|---|---| | Nmap 扫描 | T1046 Network Service Discovery | 级别 6 告警 — 多次连接尝试 | | SSH 暴力破解 | T1110.001 Brute Force | 级别 10 告警 — 多次身份验证失败 | | PowerShell 编码 | T1059.001 PowerShell | 自动与 MITRE 关联 | | 横向移动 | T1021 Remote Services | 检测主机间的异常登录 | ## 📊 主要收获 - Wazuh 开箱即用的规则已经很不错，但真正的价值在于根据具体环境进行调优 - Dashboard 中的 MITRE ATT&CK 集成为 SOC L1 分析师提供了即时的上下文 - Wazuh 的 Active Response 允许自动化响应，但配置不当可能会阻断合法流量 - 网络 IDS (Snort) 与 endpoint 日志 (Wazuh 代理) 之间的关联成倍提升了检测能力 ## 🔒 保密声明 ## ⚠️ 免责声明 本项目在隔离的实验室环境中运行，仅供教育目的使用。 ## 📧 联系方式 [Facundo Martín Fernández Otón](https://www.linkedin.com/in/facundo-martin-fernandez-oton-/) · [GitHub](https://github.com/FacundoMfernandez) 🔍 *您正在为 SOC、Blue Team 或 IR 团队招聘吗？查看我的[个人资料](https://github.com/FacundoMfernandez)，我们聊聊。*

标签：AMSI绕过, CTI, IPv6, Metaprompt, Nmap, OpenCanary, PowerShell, SSH暴力破解, URL发现, Wazuh, Windows 10, 威胁检测, 安全检测, 安全规则调优, 安全运营中心, 插件系统, 攻击模拟, 日志关联分析, 横向移动, 编程规范, 网络安全实验室, 网络映射, 虚拟驱动器, 越狱测试, 驱动签名利用