thierryn24/cybersecurity-homelab-wazuh-siem

# Wazuh SIEM 检测实验     ## 概述 一个生产级家庭实验室，模拟企业环境，用于开发、测试和优化检测能力。旨在展示实际的 SOC 工程技能：从日志收集到告警调优。 本项目作为 **毕业设计** 在 Gokstad Akademiet 开发（2026年）。 ## 架构 | 组件 | 技术 | 用途 | |------|------|------| | 虚拟化平台 | VirtualBox | VM 托管，具有隔离的内部网络 | | 域控制器 | Windows Server 2022 | AD DS、DNS、GPO | | 端点 | Windows 11 Pro | Sysmon + Wazuh 代理 | | SIEM | Wazuh 4.x | 日志聚合、告警 | | 防火墙 | pfSense CE | 网络分段、防火墙规则 | | 攻击主机 | Kali Linux | 红队模拟 | **网络段：** `192.0.2.0/24` — 完全与生产网络隔离。 完整的网络图和组件分解请参见 [docs/architecture.md](docs/architecture.md)。 ## 检测覆盖范围 | 战术 | 已测试技术 | 已检测到 | 覆盖率 | |------|------------|----------|--------| | 凭证访问 | 6 | 5 | 83% | | 横向移动 | 4 | 4 | 100% | | 防御规避 | 5 | 3 | 60% | | 发现 | 3 | 3 | 100% | | 数据外传 | 3 | 2 | 67% | 查看 [完整覆盖矩阵](mitre-coverage/coverage-matrix.md)。 ## 特色检测 - [Kerberoasting (T1558.003)](attack-scenarios/kerberoasting.md) - [LSASS 转储 (T1003.001)](attack-scenarios/lsass-dump.md) - [通过 SMB/PsExec 横向移动 (T1021.002)](attack-scenarios/lateral-movement.md) ## 自定义 Wazuh 规则 35+ 个映射到 MITRE ATT&CK 的自定义规则。请查看 [wazuh/rules/](wazuh/rules/)。 示例 — LSASS 内存转储检测： ``` 60103 (?i)\\lsass\.dmp Possible LSASS memory dump detected T1003.001 ``` ## 关键结果 | 指标 | 结果 | |------|------| | 生成的安全事件 | 15,000+ | | 识别的 CVE 数量 | 50 个未修补 | | 高危 CVE | 38 个 | | 已实施的 pfSense 防火墙规则 | 6 条 | | 覆盖的 MITRE ATT&CK 战术 | 发现、凭证访问、防御规避 | ## 开始使用 前置条件、设置和部署说明请参见 [docs/setup.md](docs/setup.md)。 ## 路线图 - [ ] 集成 Shuffle SOAR 实现自动化响应 - [ ] 增加蜜罐层 (Cowrie) - [ ] 模拟完整的勒索软件攻击链 - [ ] 迁移到 Elastic Stack 进行比较 ## 作者 **Thierry** — 网络安全专家 🌐 [thierryinfosec.com](https://thierryinfosec.com) 💼 [LinkedIn](https://linkedin.com/in/your-handle) ## 许可证 MIT — 请查看 [LICENSE](LICENSE)

标签：中文标签数组