n-somas/wazuh-siem-lab
GitHub: n-somas/wazuh-siem-lab
一个基于 Wazuh 的 SIEM 实验室项目,记录了从零搭建安全监控环境并对 Linux 安全事件进行收集与分析的完整过程。
Stars: 0 | Forks: 0
# Wazuh SIEM 实验室
## 项目描述
本项目记录了构建一个简单的**Wazuh SIEM 实验室**的过程。
该环境由一个 **Wazuh Server** 和一个连接的 **Wazuh Agent/客户端**组成。目标是在 Linux 客户端上集中收集安全相关事件,将其发送到 Wazuh Server,并在 Wazuh Dashboard 中进行分析。
## 项目目标
通过本实验室实践了以下几点:
- 搭建一个小型 SIEM 实验室
- 配置 Wazuh Server
- 连接 Wazuh Agent
- 集中收集安全事件
- 分析 SSH、PAM、sudo 和软件包安装事件
- 在 Wazuh Dashboard 中展示事件
- 通过规则 ID(Rule ID)、规则级别(Rule Level)和 MITRE ATT&CK 对单个事件进行分类
## 实验室架构
该环境使用 **VirtualBox** 在本地搭建。
```
Windows Host
│
├── Wazuh Server VM
│ ├── Wazuh Manager
│ ├── Wazuh Dashboard
│ ├── Wazuh Indexer
│ └── IP: 192.168.56.101
│
└── Wazuh Client VM
├── Wazuh Agent
└── IP: 192.168.56.102
```
客户端上的 Wazuh Agent 负责收集安全相关日志,并将其发送到 Wazuh Server。事件在服务器上进行处理,并在 Dashboard 中显示。
## 使用的系统
| 组件 | 系统 |
|---|---|
| 虚拟化 | VirtualBox |
| 服务器 | Ubuntu Server |
| 客户端 | Ubuntu 24.04.4 LTS |
| SIEM 解决方案 | Wazuh |
| Wazuh 版本 | 4.7.5 |
| 网络 | 仅主机网络 |
| 服务器 IP | 192.168.56.101 |
| 客户端 IP | 192.168.56.102 |
## Wazuh 服务器
Wazuh Server 上运行着以下核心组件:
- Wazuh Manager
- Wazuh Dashboard
- Wazuh Indexer
- Wazuh API
可以通过浏览器访问 Wazuh Dashboard:
```
https://192.168.56.101
```
## Wazuh Agent
Wazuh Agent 已安装在客户端上,并成功连接到服务器。
| 字段 | 值 |
|---|---|
| Agent ID | 001 |
| Agent 名称 | wazuh-client |
| IP 地址 | 192.168.56.102 |
| 操作系统 | Ubuntu 24.04.4 LTS |
| 状态 | active |
| Wazuh 版本 | 4.7.5 |
## Dashboard 中的安全事件
Agent 成功连接后,在 Wazuh Dashboard 中可以看到安全事件。
在 Dashboard 中按 Agent `wazuh-client` 进行了过滤。这样可以有针对性地分析该客户端的事件。
检测到的事件类型:
- PAM 登录会话已开启
- PAM 登录会话已关闭
- SSH 认证成功
- 成功以 ROOT 身份执行 sudo
- 用户首次执行 sudo
- 新 Debian 软件包已安装
- dpkg 软件包配置不完整
## 客户端事件列表
事件列表显示了客户端 `wazuh-client` 的具体安全事件。
可见字段:
- 时间
- Agent 名称
- 规则描述(Rule Description)
- 规则级别(Rule Level)
- 规则 ID(Rule ID)
## 安全事件的详细分析
在详细视图中,打开了 Agent `wazuh-client` 的一个与 sudo 相关的事件。
Wazuh 检测到一次提权至 `root` 的特权操作,并将其分类为:
```
Successful sudo to ROOT executed.
```
事件的重要字段:
| 字段 | 值 |
|---|---|
| Agent | wazuh-client |
| Agent IP | 192.168.56.102 |
| 日志源 | /var/log/auth.log |
| 规则 ID | 5402 |
| 规则级别 | 3 |
| MITRE 战术 | 权限提升,防御规避(Privilege Escalation, Defense Evasion) |
| MITRE 技术 | Sudo 和 Sudo 缓存(Sudo and Sudo Caching) |
## 结果
Wazuh 实验室已成功搭建。
达成的目标:
- Wazuh Server 正常运行
- Wazuh Dashboard 可访问
- Wazuh API 正常工作
- Wazuh Agent 已连接
- 客户端正在向服务器发送事件
- 安全事件已显示在 Dashboard 中
- 可以对单个事件进行技术分析
- MITRE ATT&CK 映射可见
## 学到的内容
通过本项目,实践了以下基础知识:
- SIEM 基础
- 日志收集与分析
- 基于 Agent 的监控
- Linux 认证日志
- SSH 和 sudo 事件
- Wazuh Dashboard 操作
- 安全监控
- 首次类似 SOC 的安全事件分析
## 展示的技能
- SIEM 设置与基础配置
- Linux 日志分析
- Wazuh Agent 管理
- 安全事件调查
- MITRE ATT&CK 映射
- 基础 SOC 分析师工作流程
- 安全实验室文档记录
## 注意事项
本项目是一个本地学习和文档记录项目。它是在一个隔离的 VirtualBox 实验室环境中实施的。
它不包含生产环境的登录凭证、真实的企业数据或任何敏感信息。
标签:Cloudflare, CSV导出, Indexer, MITRE ATT&CK, PAM监控, SIEM Lab, SSH监控, sudo监控, VirtualBox, Wazuh, Wazuh Agent, Wazuh Dashboard, Wazuh Manager, 云计算, 安全事件分析, 安全信息与事件管理, 安全可视化, 安全实验室, 安全运营, 实验室搭建, 扫描框架, 搜索引擎爬取, 日志集中收集, 网络安全, 虚拟化环境, 规则引擎, 隐私保护