AdityaDNair/Active-Directory-Lab
GitHub: AdityaDNair/Active-Directory-Lab
这是一个使用Wazuh SIEM构建的虚拟实验室,模拟企业SOC环境进行安全监控和威胁检测教育。
Stars: 0 | Forks: 0
# Wazuh SIEM 家庭实验室
## 项目概述
本项目演示了如何部署和配置一个用于安全监控、日志分析和威胁检测的 Wazuh SIEM 家庭实验室环境。该实验室使用 Oracle VirtualBox 中的多台虚拟机构建,模拟了一个小型企业的监控环境。
## 配置包括:
* 用于集中监控和分析的 Wazuh 服务器
* 配置为被监控代理的 Windows 终端
* 用于侦察和测试的 Kali Linux 机器
* 用于隔离通信的 VirtualBox 仅主机网络
## 项目重点:
* 终端监控
* 安全事件收集
* 身份验证失败检测
* 网络侦察
* MITRE ATT&CK 事件关联
* SIEM 仪表板分析
🛠️ 使用的技术
* Wazuh SIEM
* Kali Linux
* Windows Server 2022
* Oracle VirtualBox
* Nmap
* PowerShell
* Linux 终端
* 仅主机网络
## 实验室架构
```
Kali Linux VM (攻击机/测试系统)
│
│ 192.168.56.102
│
────────────────────────────
仅主机虚拟网络
────────────────────────────
│
│ 192.168.56.106
│
Windows Server 2022 VM
(Wazuh 代理已安装)
│
▼
Wazuh SIEM 服务器
(安全监控与分析)
```
## 演示功能
* Wazuh 服务器部署
* 代理注册与终端监控
* 安全事件收集
* 身份验证失败检测
* MITRE ATT&CK 映射
* 日志分析与可视化
* Nmap 侦察扫描
* 仪表板监控与告警
* 虚拟化的 SOC 风格环境
## 仓库结构
```
wazuh-siem-home-lab/
│
├── README.md
│
├── screenshots/
│ ├── wazuh-dashboard.png
│ ├── wazuh-agent-status.png
│ ├── security-events.png
│ ├── failed-login-alert.png
│ ├── nmap-scan.png
│ └── vm-networking.png
│
├── configs/
│ ├── ossec.conf
│ ├── local_internal_options.conf
│ └── network-settings.txt
│
├── logs/
│ ├── sample-alerts.txt
│ ├── authentication-failures.txt
│ └── nmap-results.txt
│
└── documentation/
├── setup-steps.md
├── architecture.md
└── troubleshooting.md
```
## 设置流程
1. 创建虚拟机
* Kali Linux VM
* Windows Server 2022 VM
* Wazuh Server VM
2. 配置网络
* 启用仅主机适配器
* 分配私有 IP 地址
* 使用 ping 验证连通性
3. 安装 Wazuh 服务器
* 安装 Wazuh manager 和 dashboard
* 验证服务正在运行
4. 安装 Wazuh 代理
* 在 Windows Server 上部署代理
* 在 `ossec.conf` 中配置服务器 IP
* 向 Wazuh 服务器注册代理
5. 生成安全事件
* 失败的登录
* 登录/注销活动
* 服务事件
* 网络扫描
6. 监控事件
* 在 Wazuh 仪表板中分析日志
* 观察 MITRE ATT&CK 映射
* 查看告警演进图表
## 侦察测试
从 Kali Linux VM 使用 Nmap 执行:
* 主机发现
* 服务枚举
* 端口扫描
示例命令:
```
nmap -A
```
## 安全监控亮点
Wazuh 仪表板捕获了:
* 身份验证失败
* Windows 登录活动
* PAM 登录事件
* 权限提升活动
* MITRE ATT&CK 关联
* 告警级别演进
# 截图展示
**Wazuh 仪表板**
显示整体的代理监控和告警分析。
**代理状态**
显示已注册的 Windows 终端信息。
**安全事件**
显示收集的日志和安全告警。
**失败登录检测**
演示身份验证失败监控。
**Nmap 扫描**
显示来自 Kali Linux 的侦察活动。
**虚拟机网络**
显示隔离的实验室网络通信。
## 学习成果
通过本项目,我获得了以下方面的实践经验:
* SIEM 部署与配置
* 终端安全监控
* 安全事件分析
* 威胁检测工作流
* 虚拟化网络安全实验室环境
* Linux 和 Windows 系统管理
* 网络故障排除
* 日志管理与关联
## 未来改进
* 添加 Sysmon 集成
* 部署额外的 Windows/Linux 代理
* 配置邮件告警
* 集成 Suricata IDS
* 添加自定义 Wazuh 规则
* 模拟勒索软件行为
* 将日志转发到外部存储
## 免责声明
本项目是在一个隔离的虚拟实验室环境中创建的,仅用于教育和防御性网络安全目的。
标签:AI合规, AMSI绕过, Cloudflare, CTI, IPv6, MITRE ATT&CK, Nmap, Oracle VirtualBox, PowerShell, Wazuh, Windows Server, 事件关联, 仪表板分析, 威胁检测, 安全事件收集, 安全实验室, 家庭实验室, 密码管理, 端点监控, 网络安全, 虚拟化, 虚拟驱动器, 认证安全, 隐私保护, 集中监控