Kunal-Mungase/wazuh-sysmon-soc-lab
GitHub: Kunal-Mungase/wazuh-sysmon-soc-lab
这是一个使用Wazuh和Sysmon在家庭实验室中模拟SOC运营的项目,用于实践威胁检测、日志分析和事件响应。
Stars: 0 | Forks: 0
# wazuh sysmon SOC 实验室
Wazuh-Sysmon SOC 实验室 — 一个使用 Wazuh、Sysmon 和 Windows 事件日志的家庭安全监控实践项目,用于模拟威胁检测、日志分析与事件响应。
wazuh-sysmon-soc-lab/
└── README.md
|--Report & Screenshots/
## 项目概述
本项目展示了一个为期四周的 SOC 家庭实验室搭建过程,利用 Wazuh、Windows 遥测数据、Sysmon 和文件完整性监控,在虚拟环境中模拟并检测基本的安全事件。
## 目标
- 在虚拟实验室中部署和配置 SIEM 解决方案
- 监控 Windows 安全日志和 Sysmon 事件
- 模拟暴力破解和恶意软件相关活动
- 通过 Wazuh 告警验证检测能力
- 构建仪表板并记录发现
## 使用的工具
- Wazuh 管理器和代理
- Sysmon
- Windows 事件日志
- 文件完整性监控 (FIM)
- Oracle VirtualBox
## 已实现的使用案例
- 使用 EICAR 测试文件检测恶意软件
- 暴力破解登录检测
- 通过 Sysmon 事件 ID 1 监控 `net user` 执行
- 使用事件 ID 4624、4625 和 4688 进行身份验证日志审查
## 仪表板与结果
- 告警趋势可视化
- 触发次数最多的规则
- 代理状态概览
- 捕获事件证据的截图
## 主要成果
- 从零开始搭建了一个可用的 SOC 实验室
- 提升了日志分析和事件关联技能
- 验证了针对模拟事件的实时检测能力
- 获得了 SOC 工作流程和报告的实际经验
## 报告与截图-
CFSS 全球实习 2026
SOC 分析师
姓名: Kunal Mungase
项目标题: SOC 运营与威胁检测精通
领域: SOC 分析师与蓝队防御
工具: WAZUH(服务器 + 代理 - Windows)
时长: 4 周(2026年4月21日-5月21日)
目标: 搭建并运营一个安全监控实验室。
附录
环境规格:
- 主机操作系统: Windows 11
- Wazuh 管理器版本: 4.14.5
- Wazuh 代理版本: 4.14.5-1
- Sysmon 版本: v15.15
- 虚拟化: Oracle VirtualBox v7.2.4 r170995 (Qt6.8.0 on windows)
GitHub 仓库:
截图显示 Wazuh 仪表板显示“1 个代理活跃”并带有绿色状态指示器,确认部署成功。
第二周: 日志分析 - 日志分析与事件监控
在 CFSS 的第二周:深入日志分析并识别系统事件模式。#BlueTeaming #LogAnalysis #CFSSIntern2026
事件查看器截图(事件 ID 4624, 4625)& 前 10 安全事件表
我分析了 Windows 安全日志,并识别出正常与可疑的登录模式。
目标: 理解正常与恶意模式
完成的任务:
1. 分析了 Windows 安全事件日志
2. 识别了事件 ID 4624(成功登录)
3. 识别了事件 ID 4625(失败的登录尝试)
4. 在 Wazuh 中创建了自定义代理组
5. 提取了前 10 个安全事件
分析:
–所有事件均落在正常操作参数范围内。
–监控期间未检测到可疑模式。
遇到的挑战:
1. 理解事件 ID -
问题:
Windows 事件查看器显示了成千上万个含义模糊的事件 ID(4624、4625、4688),令人不知所措且困惑。
解决方法:
了解到事件 ID 是标准化的:4624 = 成功登录,4625 = 失败登录,4688 = 进程创建。使用事件查看器过滤来专注于特定 ID 并理解安全模式。
2. 在 Wazuh 中筛选相关日志 -
问题:
Wazuh 仪表板显示了太多事件 - 无法在数千条记录中找到特定日志。
解决方法:
应用搜索过滤器,使用 Wazuh 查询语法(例如, rule.id:4624 )和时间范围选择来缩小结果。创建自定义视图以仅专注于与安全相关的事件。
--证据
第三周: 攻击模拟 - 攻击模拟与检测
在 CFSS 的第三周:模拟暴力破解攻击以测试我的 SOC 告警。检测是关键!#CyberSecurity #SOC
暴力破解告警、EICAR 检测 & 命令监控日志。
模拟真实世界攻击以验证检测能力。所有攻击均被成功检测到。
目标: 通过受控测试验证检测能力。
遇到的挑战:
1. Wazuh 未检测到 EICAR 文件 -
问题:
下载了 EICAR 测试文件,但 Wazuh 未生成任何告警 - Windows Defender 在 Wazuh 能看到之前就将其隔离了。
解决方法:
在 Wazuh 的 ossec.conf 中为桌面和下载文件夹启用了文件完整性监控 (FIM) 并设置实时监控。暂时禁用 Windows Defender,将 EICAR 放在受监控目录中,并成功触发了 Wazuh 告警和自定义检测规则。
2. 命令监控不工作 -
问题:
在 CMD 中运行了像 whoami 、 ipconfig 和 systeminfo 这样的命令,但在 Wazuh 中看不到它们 - 只有 net user 出现。
解决方法:
发现 Windows 默认不记录 CMD 命令。安装了 Sysmon(系统监视器)以进行高级进程跟踪,并将 Sysmon 配置从默认过滤模式修改为详细日志记录模式。这捕获了所有命令执行,事件 ID 为 1(进程创建)。
3. Sysmon 过滤掉了常见命令 -
问题:
即使安装了 Sysmon,也只有像 net user 这样的安全相关命令被记录 - 常见命令被过滤掉以减少噪音。
解决方法:
修改了 sysmonconfig-export.xml 以移除常见系统命令的排除过滤器。使用 Sysmon64.exe -c sysmon-verbose.xml 更新了 Sysmon 配置并重启了服务。这为学习目的启用了所有进程创建事件的全面日志记录。
3.1 暴力破解攻击模拟
测试步骤:
- 创建测试用户帐户
- 尝试失败的登录尝试
- 在 Wazuh 中监控高严重性告警
结果:
–Wazuh 在几次失败尝试后触发了 5 级以上告警
– 告警描述: “多次身份验证失败”
– 检测时间: < 2 分钟
– 规则 ID:
--证据
3.2 恶意软件检测测试 (EICAR)
测试步骤:
- 下载了 EICAR 标准测试文件
- 放置在受监控目录(桌面)
- 观察文件完整性监控的检测情况
结果:
–EICAR 被 Wazuh FIM 检测到
–告警级别: 12(高严重性)
–MD5 哈希已验证: 44d88612fea8a8f36de82e1278abb02f
–响应时间: 实时检测
应用的配置:
- 在桌面、下载、临时文件夹上启用 FIM
- 实时监控已激活
--证据
3.3 命令监控
测试步骤:
- 安装 Sysmon 进行进程监控
- 执行侦察命令(whoami, net user, ipconfig)
- 在 Wazuh 中跟踪命令执行
结果:
– Sysmon 事件 ID 1(进程创建)已记录
– 捕获了命令行参数
– 识别了父进程
– 记录了用户上下文
检测到的命令:
- net user → 已检测 ✓
- whoami → 已检测 ✓(配置优化后)
- ipconfig → 已检测 ✓(配置优化后)
- systeminfo → 已检测 ✓(配置优化后)
关键学习点:
–默认的 Sysmon 配置会过滤常见命令以减少噪音。
–为学习阶段的目的,修改配置为详细模式以进行全面日志记录。
--证据
第四周: 仪表板与分析 - 仪表板构建与最终报告
在 CFSS 的第四周:项目完成!在 CFSS 成功完成了为期 1 个月的 SOC 分析师项目。搭建了 SIEM 实验室,分析了威胁,并创建了安全仪表板。准备好迎接下一个挑战!#CareerGrowth #CFSSInternship #CFSSIntern2026
完整仪表板 -
■ 每日告警总数。 ■ 触发次数最多的 5 条安全规则。 ■ 代理状态
最常见告警-
用户登录(3 级),检测到 1 个模拟恶意软件,系统健康:100% 正常运行时间。
目标- 为安全事件构建多可视化仪表板 & 专业地呈现发现。
创建的仪表板组件:
1. 每日告警趋势(折线图)
- 可视化 7 天内的告警量
- 识别高峰活动期
- 趋势: [稳定/上升/下降]
2. 触发次数最多的前 5 条安全规则
- 显示触发最频繁的告警
- 实现安全重点的优先级排序
- 首要规则: 系统添加了注册表值条目,触发 4K 次
3. 代理状态监控
- 实时代理健康状况指示器
- 当前状态: 1 活跃,0 断开
- 监控期间正常运行时间: 100%
仪表板能力:
- 实时安全事件监控
- 历史趋势分析
- 快速事件识别
- 面向管理层的报告视图
商业价值:
此仪表板使安全团队能够:
- 一目了然地监控整体安全态势
- 快速识别异常模式
- 确定事件响应工作的优先级
- 向管理层报告指标
遇到的挑战:
1) 使用无数据创建可视化
问题:
尝试创建仪表板可视化时,出现“未找到结果”错误 - 无法构建图表。
解决方法:
识别出问题是使用了错误的索引模式。将 wazuh-alerts-* 更改为 wazuh-monitoring-* 以获取代理状态数据。将时间范围从“过去 15 分钟”调整为“过去 7 天”,以捕获足够数据用于有意义的可视化。
2. 为可视化查找正确的字段名称
问题:
构建水平条形图时无法找到 rule.description.keyword 字段 - 字段选择器显示了数百个选项。
解决方法:
了解了 .keyword (精确匹配)和常规字段(分析文本)之间的区别。使用 Wazuh Discover 先浏览可用字段,然后在可视化中应用正确的字段名称。在字段选择器中使用搜索功能快速找到所需字段。
3. 代理状态显示不正确
问题:
希望以颜色编码显示活动与断开的代理,但可视化显示为空或仅显示一种状态。
解决方法:
意识到需要查询监控索引而非告警索引。使用 wazuh-monitoring-* 索引和 agent.status.keyword 字段创建饼图,以获得正确的状态分布。理解当所有代理连接时,只看到“活跃”状态是正常的。
--证据
关键收获与技术洞察
获得的技术技能:
1. SIEM 部署与配置
- 虚拟环境设置
- 代理-管理器架构
- 网络连接故障排除
2. 日志分析
- Windows 事件日志解释
- 事件 ID 的意义(4624, 4625, 4688)
- 多个日志源的关联
3. 威胁检测
- 文件完整性监控实施
- 基于行为的检测(暴力破解)
- 基于签名的检测(EICAR)
4. 工具熟练度
- Wazuh SIEM 平台
- Sysmon 高级监控
- Windows 安全审计
- VirtualBox 虚拟化
5. 专业报告
- 数据可视化最佳实践
- 摘要创建
- 基于证据的文档编写
挑战与解决方案:
挑战: 首先,这个 SOC 项目在理解、部署和应用上非常困难。
解决方案: 然后,在这段时间内,我阅读了多种资源来完成这个项目,并使用了多种工具,如 AI、谷歌、YouTube、已发布的研究和文档等。
现实世界应用:
本项目模拟了实际的 SOC 分析师职责:
- 持续监控安全基础设施
- 使用 SIEM 查询进行威胁搜寻
- 事件检测与验证
- 为合规/报告进行文档记录
--结论
成功完成了为期四周的密集 SOC 运营项目,展示了以下方面的实践技能:
—安全监控基础设施部署(SIEM 部署与配置)
—日志分析与威胁检测
—攻击模拟与验证(安全事件模拟)
—专业安全报告
这次实践经验为追求以下职位提供了基础知识:
- SOC 分析师(Tier 1/2)
- 安全监控
- 事件响应
- 网络防御
后续步骤:
- 扩展实验室,增加额外的易受攻击系统
- 练习高级威胁搜寻技术和事件响应计划
- 追求行业认证(Security+, CEH, OSCP)
- 持续构建安全作品集。
参考链接-
安装 wazuh-
截图显示 Wazuh 仪表板显示“1 个代理活跃”并带有绿色状态指示器,确认部署成功。
第二周: 日志分析 - 日志分析与事件监控
在 CFSS 的第二周:深入日志分析并识别系统事件模式。#BlueTeaming #LogAnalysis #CFSSIntern2026
事件查看器截图(事件 ID 4624, 4625)& 前 10 安全事件表
我分析了 Windows 安全日志,并识别出正常与可疑的登录模式。
目标: 理解正常与恶意模式
完成的任务:
1. 分析了 Windows 安全事件日志
2. 识别了事件 ID 4624(成功登录)
3. 识别了事件 ID 4625(失败的登录尝试)
4. 在 Wazuh 中创建了自定义代理组
5. 提取了前 10 个安全事件
分析:
–所有事件均落在正常操作参数范围内。
–监控期间未检测到可疑模式。
遇到的挑战:
1. 理解事件 ID -
问题:
Windows 事件查看器显示了成千上万个含义模糊的事件 ID(4624、4625、4688),令人不知所措且困惑。
解决方法:
了解到事件 ID 是标准化的:4624 = 成功登录,4625 = 失败登录,4688 = 进程创建。使用事件查看器过滤来专注于特定 ID 并理解安全模式。
2. 在 Wazuh 中筛选相关日志 -
问题:
Wazuh 仪表板显示了太多事件 - 无法在数千条记录中找到特定日志。
解决方法:
应用搜索过滤器,使用 Wazuh 查询语法(例如, rule.id:4624 )和时间范围选择来缩小结果。创建自定义视图以仅专注于与安全相关的事件。
--证据
第三周: 攻击模拟 - 攻击模拟与检测
在 CFSS 的第三周:模拟暴力破解攻击以测试我的 SOC 告警。检测是关键!#CyberSecurity #SOC
暴力破解告警、EICAR 检测 & 命令监控日志。
模拟真实世界攻击以验证检测能力。所有攻击均被成功检测到。
目标: 通过受控测试验证检测能力。
遇到的挑战:
1. Wazuh 未检测到 EICAR 文件 -
问题:
下载了 EICAR 测试文件,但 Wazuh 未生成任何告警 - Windows Defender 在 Wazuh 能看到之前就将其隔离了。
解决方法:
在 Wazuh 的 ossec.conf 中为桌面和下载文件夹启用了文件完整性监控 (FIM) 并设置实时监控。暂时禁用 Windows Defender,将 EICAR 放在受监控目录中,并成功触发了 Wazuh 告警和自定义检测规则。
2. 命令监控不工作 -
问题:
在 CMD 中运行了像 whoami 、 ipconfig 和 systeminfo 这样的命令,但在 Wazuh 中看不到它们 - 只有 net user 出现。
解决方法:
发现 Windows 默认不记录 CMD 命令。安装了 Sysmon(系统监视器)以进行高级进程跟踪,并将 Sysmon 配置从默认过滤模式修改为详细日志记录模式。这捕获了所有命令执行,事件 ID 为 1(进程创建)。
3. Sysmon 过滤掉了常见命令 -
问题:
即使安装了 Sysmon,也只有像 net user 这样的安全相关命令被记录 - 常见命令被过滤掉以减少噪音。
解决方法:
修改了 sysmonconfig-export.xml 以移除常见系统命令的排除过滤器。使用 Sysmon64.exe -c sysmon-verbose.xml 更新了 Sysmon 配置并重启了服务。这为学习目的启用了所有进程创建事件的全面日志记录。
3.1 暴力破解攻击模拟
测试步骤:
- 创建测试用户帐户
- 尝试失败的登录尝试
- 在 Wazuh 中监控高严重性告警
结果:
–Wazuh 在几次失败尝试后触发了 5 级以上告警
– 告警描述: “多次身份验证失败”
– 检测时间: < 2 分钟
– 规则 ID:
--证据
3.2 恶意软件检测测试 (EICAR)
测试步骤:
- 下载了 EICAR 标准测试文件
- 放置在受监控目录(桌面)
- 观察文件完整性监控的检测情况
结果:
–EICAR 被 Wazuh FIM 检测到
–告警级别: 12(高严重性)
–MD5 哈希已验证: 44d88612fea8a8f36de82e1278abb02f
–响应时间: 实时检测
应用的配置:
- 在桌面、下载、临时文件夹上启用 FIM
- 实时监控已激活
--证据
3.3 命令监控
测试步骤:
- 安装 Sysmon 进行进程监控
- 执行侦察命令(whoami, net user, ipconfig)
- 在 Wazuh 中跟踪命令执行
结果:
– Sysmon 事件 ID 1(进程创建)已记录
– 捕获了命令行参数
– 识别了父进程
– 记录了用户上下文
检测到的命令:
- net user → 已检测 ✓
- whoami → 已检测 ✓(配置优化后)
- ipconfig → 已检测 ✓(配置优化后)
- systeminfo → 已检测 ✓(配置优化后)
关键学习点:
–默认的 Sysmon 配置会过滤常见命令以减少噪音。
–为学习阶段的目的,修改配置为详细模式以进行全面日志记录。
--证据
第四周: 仪表板与分析 - 仪表板构建与最终报告
在 CFSS 的第四周:项目完成!在 CFSS 成功完成了为期 1 个月的 SOC 分析师项目。搭建了 SIEM 实验室,分析了威胁,并创建了安全仪表板。准备好迎接下一个挑战!#CareerGrowth #CFSSInternship #CFSSIntern2026
完整仪表板 -
■ 每日告警总数。 ■ 触发次数最多的 5 条安全规则。 ■ 代理状态
最常见告警-
用户登录(3 级),检测到 1 个模拟恶意软件,系统健康:100% 正常运行时间。
目标- 为安全事件构建多可视化仪表板 & 专业地呈现发现。
创建的仪表板组件:
1. 每日告警趋势(折线图)
- 可视化 7 天内的告警量
- 识别高峰活动期
- 趋势: [稳定/上升/下降]
2. 触发次数最多的前 5 条安全规则
- 显示触发最频繁的告警
- 实现安全重点的优先级排序
- 首要规则: 系统添加了注册表值条目,触发 4K 次
3. 代理状态监控
- 实时代理健康状况指示器
- 当前状态: 1 活跃,0 断开
- 监控期间正常运行时间: 100%
仪表板能力:
- 实时安全事件监控
- 历史趋势分析
- 快速事件识别
- 面向管理层的报告视图
商业价值:
此仪表板使安全团队能够:
- 一目了然地监控整体安全态势
- 快速识别异常模式
- 确定事件响应工作的优先级
- 向管理层报告指标
遇到的挑战:
1) 使用无数据创建可视化
问题:
尝试创建仪表板可视化时,出现“未找到结果”错误 - 无法构建图表。
解决方法:
识别出问题是使用了错误的索引模式。将 wazuh-alerts-* 更改为 wazuh-monitoring-* 以获取代理状态数据。将时间范围从“过去 15 分钟”调整为“过去 7 天”,以捕获足够数据用于有意义的可视化。
2. 为可视化查找正确的字段名称
问题:
构建水平条形图时无法找到 rule.description.keyword 字段 - 字段选择器显示了数百个选项。
解决方法:
了解了 .keyword (精确匹配)和常规字段(分析文本)之间的区别。使用 Wazuh Discover 先浏览可用字段,然后在可视化中应用正确的字段名称。在字段选择器中使用搜索功能快速找到所需字段。
3. 代理状态显示不正确
问题:
希望以颜色编码显示活动与断开的代理,但可视化显示为空或仅显示一种状态。
解决方法:
意识到需要查询监控索引而非告警索引。使用 wazuh-monitoring-* 索引和 agent.status.keyword 字段创建饼图,以获得正确的状态分布。理解当所有代理连接时,只看到“活跃”状态是正常的。
--证据
关键收获与技术洞察
获得的技术技能:
1. SIEM 部署与配置
- 虚拟环境设置
- 代理-管理器架构
- 网络连接故障排除
2. 日志分析
- Windows 事件日志解释
- 事件 ID 的意义(4624, 4625, 4688)
- 多个日志源的关联
3. 威胁检测
- 文件完整性监控实施
- 基于行为的检测(暴力破解)
- 基于签名的检测(EICAR)
4. 工具熟练度
- Wazuh SIEM 平台
- Sysmon 高级监控
- Windows 安全审计
- VirtualBox 虚拟化
5. 专业报告
- 数据可视化最佳实践
- 摘要创建
- 基于证据的文档编写
挑战与解决方案:
挑战: 首先,这个 SOC 项目在理解、部署和应用上非常困难。
解决方案: 然后,在这段时间内,我阅读了多种资源来完成这个项目,并使用了多种工具,如 AI、谷歌、YouTube、已发布的研究和文档等。
现实世界应用:
本项目模拟了实际的 SOC 分析师职责:
- 持续监控安全基础设施
- 使用 SIEM 查询进行威胁搜寻
- 事件检测与验证
- 为合规/报告进行文档记录
--结论
成功完成了为期四周的密集 SOC 运营项目,展示了以下方面的实践技能:
—安全监控基础设施部署(SIEM 部署与配置)
—日志分析与威胁检测
—攻击模拟与验证(安全事件模拟)
—专业安全报告
这次实践经验为追求以下职位提供了基础知识:
- SOC 分析师(Tier 1/2)
- 安全监控
- 事件响应
- 网络防御
后续步骤:
- 扩展实验室,增加额外的易受攻击系统
- 练习高级威胁搜寻技术和事件响应计划
- 追求行业认证(Security+, CEH, OSCP)
- 持续构建安全作品集。
参考链接-
安装 wazuh-
标签:AMSI绕过, SOC分析, Sysmon, Wazuh, Windows事件日志, x64dbg, 事件日志审查, 仪表板, 免杀技术, 告警规则, 威胁检测, 安全信息管理, 安全运营, 家庭实验室, 扫描框架, 暴力破解检测, 混合加密, 蓝队防御, 虚拟实验室