piyushjawla/SOC-simulation-lab

# SOC-Simulation-Lab ### 📌 概述 本项目记录了一个小型安全运营中心 (SOC) 模拟实验室的搭建过程，旨在使用 Wazuh 作为 SIEM 平台，监控和分析 Windows Active Directory 环境中的活动。构建该实验室是为了在虚拟化的企业级环境中获得日志收集、网络分段、攻击可见性以及安全监控的实践经验。 ### 🎯 目标 - 模拟基础的 SOC 环境 - 收集并分析安全日志 - 监控多系统活动 - 了解可疑行为在 SIEM 平台中的表现形式 - 实践网络分段与虚拟化技术 - 接触并熟悉安全监控工作流程 ### 🛠 使用的技术 | 技术 | 用途 | | -------------- | --------------------------- | | VirtualBox | 虚拟化 | | Windows Server | 域控制器 | | Windows 10 | 客户端系统 | | Kali Linux | 攻击模拟 | | Ubuntu Server | Wazuh 部署 | | Wazuh | SIEM 与日志监控 | | Netplan | Linux 网络配置 | ### 🏗 实验室架构 ``` NAT / Internet | ---------------- | | DC01 Wazuh Server | CLIENT01 | Kali Linux ``` ### 🌐 网络设计 双网卡配置 为域控制器配置了： - 用于实验室内部通信的内部网络适配器 - 用于连接互联网的 NAT 适配器  这实现了： - 隔离的内部通信 - 受控的互联网访问 - 主机与实验室环境之间的隔离  ### 🔐 Wazuh SIEM 部署 Wazuh 安装 在 Ubuntu Server 上部署了 Wazuh，使其作为 SOC 实验室的集中监控平台。  ### 处理兼容性问题 在安装过程中，遇到了操作系统兼容性限制问题。 解决方案 验证了 Ubuntu 版本 使用： `--ignore-check` 跳过了安装程序的兼容性验证（适用于个人实验室环境）。  ### 🌍 Wazuh 服务器的网络配置 静态 IP 配置 发现实验室网络适配器缺少 IP 分配后，使用 Netplan 手动配置了静态 IP 地址。  ### 持久连接 配置了持久的网络设置，以确保系统重启后网络连接依然正常工作。 使用的技术示例： Netplan Ubuntu 网络工具 ### 🔗 SIEM 仪表板访问 端口转发配置 由于内部实验室网络与主机系统相互隔离，因此在 VirtualBox 中配置了 NAT 端口转发，以便将 Wazuh 仪表板安全地暴露给主机。 这实现了： - 通过 localhost 进行浏览器访问 - 从主机操作系统管理仪表板 -  ### 📊 安全监控 Wazuh 仪表板验证 验证了以下组件的成功启动： - Wazuh Dashboard - Wazuh Indexer - Wazuh Manager 确认了 SIEM 的可访问性和仪表板功能。  ### 配置 Wazuh 持久服务 - 启用了 Wazuh manager、indexer 和 dashboard 服务 - 配置了系统开机时自动启动 - 验证了重启后服务的持久性  ### 解决 Wazuh 服务依赖问题 - 排查了仪表板 API 连接失败问题 (HTTP 503)  - 验证了端口 55000 上 Wazuh API 的可用性  - 诊断出服务依赖初始化问题 - 按照正确的顺序重启 Wazuh 组件以恢复功能： Indexer → Manager → Dashboard  

标签：EDR, PB级数据处理, PE 加载器, PFX证书, Terraform 安全, Ubuntu Server, VirtualBox, Wazuh, Windows Active Directory, 企业网络架构, 域控制器, 安全运维, 安全运营中心, 攻击检测, 攻击模拟, 日志收集, 模拟实验室, 活动目录, 网络分割, 网络安全, 网络映射, 脆弱性评估, 虚拟化环境, 隐私保护, 驱动签名利用