Shaik-Sohel/Wazuh-setup-lab

# Wazuh 设置实验室 ## 项目概述 本项目演示了在虚拟实验室环境中设置和配置 Wazuh SIEM，用于安全监控、日志分析和威胁检测。该实验室包括与 Wazuh 集成的 Windows 和 Kali Linux 系统，用于监控安全事件和可疑活动。 ## 工具与技术 - Wazuh SIEM - Windows 10 - Kali Linux - Sysmon - VirtualBox / VMware - Wireshark - Nmap ## 目标 - 配置 Wazuh SIEM 进行集中式日志监控 - 监控 Windows 安全事件 - 检测暴力攻击和可疑活动 - 将 Sysmon 日志与 Wazuh 集成 - 进行基本的威胁检测与分析 ## 实验室架构 - Wazuh 服务器 - 安装了 Wazuh 代理的 Windows 终端 - Kali Linux 攻击机 - 虚拟网络环境 ## 已实现的功能 - 安装并配置了 Wazuh Manager - 将 Windows 代理连接到 Wazuh 仪表板 - 集成 Sysmon 以实现高级日志监控 - 监控身份验证和安全事件 - 为可疑活动创建警报 - 执行了网络扫描检测 - 分析了日志和安全警报 ## 攻击模拟 ### 1. 暴力攻击检测 - 模拟了多次登录失败尝试 - 监控了 Windows 事件 ID 4625 - 在 Wazuh 仪表板中生成警报 ### 2. Nmap 扫描检测 - 使用 Nmap 执行了网络扫描 - 检测到可疑的扫描活动 ### 3. Sysmon 监控 - 监控了进程创建事件 - 跟踪了 PowerShell 执行日志 - 分析了与安全相关的事件 ## 日志分析 - Windows 安全事件监控 - 身份验证日志分析 - 可疑活动检测 - 警报调查与关联 ## 包含的截图 - Wazuh 仪表板 - 代理连接状态 - Sysmon 事件日志 - 暴力攻击检测警报 - Nmap 扫描检测 ## 获得的技能 - SIEM 监控 - 威胁检测 - 日志分析 - Windows 事件监控 - 事件调查 - 安全警报分析 - 基础威胁狩猎 ## 使用的命令 ### 检查 Wazuh 代理状态 ``` systemctl status wazuh-agent ``` ### Nmap 扫描 ``` nmap -sS 192.168.1.0/24 ``` ### 登录失败的 Windows 事件 ID ``` 4625 ``` ## 未来改进 - 集成 Suricata IDS - 配置电子邮件警报 - 添加 Active Directory 监控 - 实施威胁情报集成 - 配置自定义检测规则 ## 作者 Shaik Sohel 网络安全爱好者 | SOC 分析师志愿

标签：AMSI绕过, CTI, Nmap, PowerShell日志, SIEM系统, Sysmon集成, Wazuh配置, Windows安全事件, Wireshark, 事件调查, 信息收集自动化, 免杀技术, 句柄查看, 威胁检测, 安全信息和事件管理, 安全警报, 安全运营中心, 插件系统, 攻击模拟, 暴力破解检测, 网络安全, 网络扫描检测, 网络映射, 网络流量分析, 虚拟实验室, 虚拟驱动器, 隐私保护, 集中日志管理, 驱动签名利用