MalakhFuller/SOC-Lab-2-with-5x-VMs-Wazuh-SIEM-2-Victims-

# SOC 实验室 2：5 个 VM | Wazuh SIEM | 活动目录域控制器 | 2 个受害者 | 1 个攻击箱 本存储库记录了一个多 VM SOC 实验室环境的构建和练习，该环境旨在模拟真实企业的安全运营，作为一个动手学习的环境来培养 SOC 分析师和检测工程技能。实验室具有一个接收来自 Windows 和 Linux 终端点的遥测数据的 Wazuh SIEM/XDR 管理器，并有一个专门的 Kali Linux 攻击箱用于对手模拟，映射到 MITRE ATT&CK 技术。每个项目都建立在上一个项目的基础上，逐步涵盖检测工程、日志分析、威胁狩猎和事件响应工作流程。 ## 实验室环境 | VM | 角色 | OS | IP | |---|---|---|---| | Wazuh-Server | SIEM / XDR | Ubuntu Server 26.04 | 10.10.10.130 | | Kali-AttackBox | 攻击模拟 | Kali Linux 2026.1 | 10.10.10.128 | | Win11-Victim01 | Windows 终端 | Windows 11 企业版（评估版） | 10.10.10.131 | | Ubuntu-Victim02 | Linux 终端 | Ubuntu Server 26.04 | 10.10.10.132 | | WinServer-DC01 | 活动目录 DC | Windows Server 2025（评估版） | 10.10.10.134 | 所有 VM 都在隔离的内部网络（VMnet2，10.10.10.0/24）上运行，无法直接访问主机机器或真实家庭网络。 ## 第 1 部分：实验室构建 ### 项目 1 — 全 5-VM SOC 实验室构建 | Wazuh SIEM | 活动目录 | Sysmon 从头开始构建一个 5-VM 隔离 SOC 实验室，包括虚拟机管理程序配置、网络分段、SIEM 部署、终端点仪器、活动目录设置以及 Windows 和 Linux 终端点的域加入。 **展示的技能：** - 多 VM 虚拟机管理程序配置（VMware Workstation Pro） - 使用自定义 VMnets 进行隔离网络分段 - SIEM 部署和配置（Wazuh 4.14） - Wazuh 代理在 Windows 和 Linux 终端点上的部署 - Sysmon 安装和配置（SwiftOnSecurity 规则集） - 活动目录域部署（森林、组织单位、用户、组） - Windows 和 Linux 终端点的域加入 - 日志收集和转发配置 - 基本警报分类 — 从管理员活动识别误报 **状态：** [完成](https://github.com/MalakhFuller/SOC-Lab-2-with-5x-VMs-Wazuh-SIEM-2-Victims-/blob/main/SOC_Lab-The_Build_Out.md) ## 第 2 部分：攻击模拟和检测（计划中） ### 项目 2 — 对活动目录的凭据攻击 使用 Kali 模拟针对域账户的密码喷洒攻击，通过 Wazuh（事件 ID 4625、4771）进行检测，并映射到 MITRE ATT&CK 技术（T1110.003）。 **状态：** 计划中 ### 项目 3 — Kerberoasting 从 Kali 请求域账户的服务票据，并通过事件 ID 4769 在 Wazuh 中检测攻击签名。MITRE ATT&CK 映射：T1558.003。 **状态：** 计划中 ### 项目 4 — 横向移动检测 使用受损凭据在终端点之间移动，Sysmon 和 Wazuh 跟踪完整的过程链和终止路径。 **状态：** 计划中 ### 项目 5 — 自定义检测规则编写 识别 Wazuh 默认检测覆盖范围的差距，并编写自定义规则来填补它——检测工程的核心技能。 **状态：** 计划中 ### 项目 6 — 全部紫色团队练习 从初始侦察到域妥协的端到端攻击链，完全记录为 SOC 事件报告。 **状态：** 计划中 ## 作者 [Malakh Fuller](https://www.linkedin.com/in/malakhfuller/)

标签：BurpSuite集成