faisal-kh-alkanhal/Wazuh-SIEM-And-OPNsense-WorkLab

# 企业级 SIEM 与对手仿真沙盒      ## 摘要 构建了一个隔离的多子网虚拟实验环境，用于模拟企业网络边界、实施高级端点监控遥测，并验证防御体系对脚本化真实威胁的可见性。该环境复现了逼真的企业网络拓扑，包含分段防火墙、Active Directory 域和专用安全运营区域，以模拟 SOC 分析师在真实生产环境中可能遇到的条件。端点遥测通过 Microsoft Sysmon（使用 SwiftOnSecurity 配置模板）在内核层面提供，所有主机和网络事件均聚合至 Wazuh SIEM 实例进行关联和告警。攻击场景使用 Red Canary 的 Atomic Red Team 框架（映射至 MITRE ATT&CK 矩阵）执行，以验证检测覆盖率并发现防御堆栈中的盲区。 ## 技术架构与工具 组件 | 技术 ---|--- 虚拟化引擎 | VMware Workstation Pro 网络安全 | OPNsense 防火墙与路由器 SIEM / XDR 聚合器 | Wazuh SIEM 服务器 目标域基础设施 | Windows Server 2025（Active Directory 域控）+ Windows 11 企业版客户端 主机遥测 | Microsoft Sysmon（使用 SwiftOnSecurity 配置模板） 对手仿真 | Red Canary 的 Atomic Red Team 框架及自定义命令 ## 网络拓扑与边界控制 实验室通过 VMware LAN 网段划分为三个隔离网络区域，OPNsense 执行区域间流量策略并作为所有路由子网的默认网关。该架构模拟了真实企业环境，其中 SOC 位于与被监控资产分离的管理平面上。 ``` ┌───────────────────────────────────────────────────────────────┐ │ VMware Workstation │ │ │ │ ┌──────────────┐ ┌──────────────────┐ │ │ │ WAN Zone │ │ OPNsense │ │ │ │ VMware NAT │────▶│ Firewall │ │ │ │ 192.168.x.x │ │ (Gateway + │ │ │ └──────────────┘ │ IDS/IPS) │ │ │ └────────┬─────────┘ │ │ │ │ │ ┌──────────────────┴──────────────┐ │ │ │ │ │ │ ┌──────────▼──────────┐ ┌────────────▼───────────┐ │ │ │ Security Ops Zone │ │ Target Corporate Zone │ │ │ │ LAN 10.10.10.0/24 │ │ OPT1 10.10.20.0/24 │ │ │ │ │ │ │ │ │ │ ┌───────────────┐ │ │ ┌──────────────────┐ │ │ │ │ │ Wazuh Server │ │ │ │ Windows Server │ │ │ │ │ │ 10.10.10.151 │ │ │ │ (AD DC) │ │ │ │ │ └───────────────┘ │ │ │ 10.10.20.100 │ │ │ │ │ │ │ └──────────────────┘ │ │ │ └─────────────────────┘ │ ┌──────────────────┐ │ │ │ │ │ Windows 11 │ │ │ │ │ │ Enterprise Client│ │ │ │ │ │ 10.10.20.150 │ │ │ │ │ └──────────────────┘ │ │ │ └────────────────────────┘ │ └───────────────────────────────────────────────────────────────┘ ``` **区域划分：** - **WAN 区域** — VMware NAT（`192.168.x.x`）。提供出站互联网访问；无指向内部区域的直接入站路由。 - **安全运营区域（LAN）— `10.10.10.0/24`** — 部署 Wazuh 管理器实例。与目标区域通过防火墙隔离；仅接收由代理发起的加密日志流（端口 1514/1515）。 - **目标企业区域（OPT1）— `10.10.20.0/24`** — 部署 Active Directory 域控制器和端点客户端。所有主机均安装 Wazuh 代理，并将事件转发至安全运营区域。 OPNsense 防火墙规则在区域之间实施默认拒绝策略，仅对 Wazuh 代理通信和 DNS 解析放行。这确保目标区域中受感染的端点无法直接访问 SIEM。 ## 对手仿真与日志验证 — 紫队循环 每次测试遵循相同流程：在目标主机上执行 Atomic Red Team 技术 → 观察 Sysmon 遥测 → 验证 Wazuh 告警是否触发且包含预期字段。目标不仅是确认告警存在，更是理解*具体哪个日志字段*揭示了该行为。 ### 测试 1 — T1070.001：指示器清除 — 事件日志清理 **对手技术：** 攻击者在入侵后清除 Windows 事件日志，以删除横向移动、凭据访问或执行的痕迹。MITRE ATT&CK 映射为 T1070.001（主机指示器清除：清除 Windows 事件日志）。 **执行方法：** ``` wevtutil cl System wevtutil cl Security wevtutil cl Application ``` ### 测试 2 — T1547.001：启动或登录自启动 — 注册表运行键 **对手技术：** 通过将恶意二进制路径写入 `HKCU\...\Run` 注册表键建立持久性。该负载在每次用户登录时自动执行，无需提升权限。 **执行方法：** ``` Invoke-AutomicTest T1547.001 TestNumbers 1 ``` 父进程链也可见：`powershell.exe` → `reg.exe`，提供了完整的执行链路。防御分析师可以追溯生成注册表写入的原始 PowerShell 会话。 **清理：** ``` Invoke-AutomicTest T1547.001 -Cleanup ``` ### 测试 3 — T1053.005：计划任务/作业 — 通过 schtasks.exe 建立持久性 **对手技术：** 对手滥用 Windows 任务计划程序建立恶意负载的持久执行。通过创建在登录时、按时间间隔或由系统事件触发的计划任务，攻击者可在不触及受更严格监控的注册表运行键的情况下绕过重启。这是一种原生二进制技术，schtasks.exe 随每个 Windows 版本自带，使其成为真实入侵中可靠且常见的持久性机制。 Atomic Red Team 测试：T1053.005 — 原子测试 #1：计划任务启动脚本 **执行方法：** ``` Invoke-AutomicTest T1053.005 TestNumbers 1 ``` **清理：** ``` Invoke-AutomicTest T1053.005 -Cleanup ``` ### 测试 4 — T1016 / T1049：网络发现 — 内部侦察爆发 **对手技术：** 初始访问后，对手会进行内部网络发现以映射环境，然后才进行横向移动。这种技术（有时称为“靠地生存”侦察）仅使用 Windows 内置二进制文件（ipconfig、arp、netstat、net、nslookup），因此不会留下由防病毒软件检测的放置工具。MITRE ATT&CK 将各命令分别映射至 T1016（系统网络配置发现）和 T1049（系统网络连接发现）。 Atomic Red Team 测试： - T1016 — 原子测试 #1：系统网络配置发现 - T1049 — 原子测试 #1：系统网络连接发现 **执行方法：** ``` Invoke-AutomicTest T1016 -Name TestNumbers 1 Invoke-AutomicTest T1049 -Name TestNumbers 1 ``` ## 关键工程见解与经验教训 **网络隔离是检测的倍增器。** 将 SIEM 隔离到自己的网络区域意味着，即使端点被攻破，攻击者也无法篡改日志基础设施。Wazuh 代理的日志转发是目标区域的单向出站流量，因此不存在允许端点反向访问并修改管理器的防火墙规则。这一设计选择反映了 SOC 的最佳实践架构，并防止了常见的攻击手法——在收集器上而非主机上清除日志。 **Sysmon 相比原生 Windows 日志具有质变的优势。** 标准 Windows 事件日志仅捕获“发生了什么”——进程启动、文件创建。Sysmon 则捕获“如何发生的”——完整命令行、父进程、网络目标、文件哈希以及注册表键。调查 `EventID 4688`（进程创建，默认无命令行）与 Sysmon `EventID 1`（进程创建，含完整命令行、哈希和父进程）之间的差异，就是死路与完整攻击链重建之间的区别。SwiftOnSecurity 配置模板在此基础上增加了噪声过滤，抑制大量良性事件，使真正可疑的活动脱颖而出。 **Atomic Red Team 诚实地暴露了检测盲区。** 多次测试*首次运行未产生任何告警*——这反而是最有价值的成果。对于一项有记录的、真实世界中的技术未能触发告警，是一个明确的可修复盲区。运行紫队循环（模拟→观察→调优→再模拟）是验证 SIEM 部署远比依赖厂商营销文档的覆盖假设更严格的方法。

标签：Active Directory, AMSI绕过, Atomic Red Team, Cloudflare, IP 地址批量处理, MITRE ATT&CK, OPNsense, Plaso, Sysmon, VMware, Wazuh SIEM, Windows 11, Windows Server, 企业安全, 多子网, 威胁检测, 安全运营中心, 攻击模拟, 数据展示, 数据泄露检测, 日志聚合, 检测工程实验室, 流量捕获, 端点遥测, 红队, 网络安全, 网络拓扑, 网络映射, 网络资产管理, 路由, 遥测, 防火墙, 隐私保护, 驱动签名利用