Chr7sxk/wazuh-siem-lab

# Wazuh SIEM 威胁检测实验室 一个完全隔离的攻击/防御实验室，用于模拟现实世界的网络攻击，并使用自配置的 SIEM 进行检测。该项目涵盖了网络架构、代理部署、实时攻击执行和自定义检测规则编写。 ## 实验室架构 | 机器 | 角色 | 操作系统 | |---|---|---| | Wazuh 服务器 | SIEM / 日志聚合器 | Amazon Linux 2023 (OVA) | | Kali Linux | 攻击者 | Kali Linux 2026.1 | | Metasploitable2 | 漏洞目标 | Ubuntu 8.04 | **网络：** 所有三个虚拟机都在一个隔离的 Host-Only 网络上运行 (`192.168.56.0/24`)，没有互联网暴露。Kali 和 Wazuh 有一个用于设置的辅助 NAT 网络适配器。 ## 使用工具 - **Wazuh 4.14.5** — SIEM、日志分析、警报生成、自定义规则 - **Nmap** — 网络侦察和端口扫描 - **Hydra** — FTP 暴力破解凭证攻击 - **Oracle VirtualBox** — 虚拟化和隔离网络架构 - **Kali Linux** — 攻击平台 - **Metasploitable2** — 故意设置漏洞目标 ## 我所构建的内容 ### 1. 隔离实验室网络 使用 VirtualBox Host-Only 网络配置了三个虚拟机环境。Metasploitable2 故意限制在内部网络中 — 没有NAT，没有互联网访问 — 以模拟真实的隔离目标环境。 ### 2. Wazuh SIEM 部署 部署了 Wazuh 4.14.5 OVA，并通过 Host-Only 网络访问了 Web 仪表板。在 Kali Linux 上配置了 Wazuh 代理，将其指向 SIEM 服务器以进行实时日志传输。 ### 3. 攻击执行 **网络侦察 (Nmap)** ``` sudo nmap -sV -O 192.168.56.101 ``` 枚举了 Metasploitable2 上的所有开放端口和服务，在利用之前映射了攻击面。识别了 20 多个开放服务，包括 FTP、MySQL、VNC、IRC 和 HTTP。 **FTP 暴力破解 (Hydra)** ``` hydra -l msfadmin -p msfadmin ftp://192.168.56.101 ``` 对 Metasploitable2 上的 FTP 服务执行了凭证攻击。成功认证并展示了弱凭证漏洞。 ### 4. SIEM 检测与警报 Kali 上的 Wazuh 代理生成了 **300 多个警报**，包括攻击活动： - 认证失败和成功 - 基于主机的异常检测（rootcheck） - 可疑端口活动 - MITRE ATT&CK 标记的事件：**T1046**（网络服务扫描）、**T1110**（暴力破解） ### 5. 自定义检测规则 在 `/var/ossec/etc/rules/local_rules.xml` 中编写了自定义 XML 检测规则： ``` 533 Suspicious port activity detected - possible attack tool T1046 ``` 规则 100002 在 **级别 12（高严重性）** 上成功触发，并在 Wazuh 威胁狩猎仪表板中显示，确认了端到端检测。 ## 关键要点 - 作为攻击者执行攻击时，获得了防御者的视角 — 观看 Hydra 和 Nmap 生成实时 SIEM 警报使威胁景观具体化 - 理解了 SIEM 代理、日志传输器和警报引擎在真实环境中的协同工作方式 - 学习了如何编写和验证映射到 MITRE ATT&CK 的自定义检测规则 - 排查了真实基础设施问题：网络绑定、服务初始化、代理配置和 XML 规则语法 ## 联系 - LinkedIn: [linkedin.com/in/kevin-escandon](https://linkedin.com/in/kevin-escandon) - 邮箱：kevinchristian.escandon@gmail.com

标签：CTI