5brothersghz-glitch/Siem-With-Wazuh

GitHub: 5brothersghz-glitch/Siem-With-Wazuh

构建网络安全实验室，模拟攻击，监控安全事件，分析日志，AI辅助威胁检测。

Stars: 0 | Forks: 0

# Wazuh、Caldera、Sysmon 和 AI 日志分析实验室 ## 项目概述本项目涉及构建一个网络安全实验室环境，以模拟网络攻击、监控安全事件和分析日志，使用 Wazuh、Sysmon、MITRE Caldera 和 AI 辅助日志分析。 ## 第 1 步：创建虚拟机使用 VirtualBox，我创建了三个虚拟机： - Ubuntu Server VM（Wazuh 服务器） - Windows 10 VM（目标端点） - Kali Linux VM（攻击者机器） ### 截图：虚拟机 ![虚拟机](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f2b7d3916f043728.png) ## 第 2 步：安装和配置 Wazuh 我在 Ubuntu Server VM 上安装了 Wazuh，并配置了 Wazuh 管理器、索引器和仪表板。安装完成后，我验证了所有服务都在运行，并确认了访问 Web 仪表板。 ### 截图：Wazuh 安装 ![Wazuh 安装](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/c5d21c6b49043728.png) ### 截图：Wazuh 仪表板 ![Wazuh 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/561245c50c043730.png) ## 第 3 步：添加 Windows 10 端点我在 Windows 10 虚拟机上安装了 Wazuh 代理，并将其注册到 Wazuh 管理器。连接后，端点开始向 Wazuh 服务器发送日志和安全事件以进行监控。 ### 截图：Windows 代理安装 ![Windows 代理](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/97d0210c19043731.png) ### 截图：端点连接到 Wazuh ![连接的端点](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/384a54e6d5043732.png) ## 第 4 步：安装和配置 Sysmon 为了增强端点可见性，我在 Windows 10 VM 上安装了 Sysmon（系统监控器）。Sysmon 被配置为记录详细的系统活动，包括进程创建、网络连接、文件修改、注册表更改和 PowerShell 执行事件。Wazuh 被配置为摄取 Sysmon 日志，从而提供对端点行为的更深入了解，并提高威胁检测能力。 ### 截图：Sysmon 安装 ![Sysmon 安装](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/0d953d6951043733.png) ### 截图：Sysmon 事件在 Wazuh 中 ![Sysmon 事件](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/5a1ba8180f043734.png) ## 第 5 步：安装 Kali Linux 和 MITRE Caldera 我配置了一个 Kali Linux 虚拟机并安装了 MITRE Caldera。Caldera 被用于模拟对手行为并执行基于 MITRE ATT&CK 框架的攻击技术。 ### 截图：Kali Linux ![Kali Linux](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/331710f29d043737.png) ### 截图：Caldera 安装 ![Caldera 安装](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/ab7c99499d043741.png) ### 截图：Caldera 仪表板 ![Caldera 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/60acf61aa2043742.png) ## 第 6 步：执行攻击模拟使用 MITRE Caldera，我对 Windows 10 端点进行了攻击模拟。这些练习包括侦察、权限提升、持久性、凭证访问和命令执行技术。Sysmon 在这些攻击期间捕获了详细的遥测数据，而 Wazuh 根据收集的数据生成警报。 ### 截图：攻击执行 ![攻击执行](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/0524b23aa9043742.png) ### 截图：MITRE ATT&CK 技术 ![MITRE ATT&CK](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/e22f968c5b043744.png) ## 第 7 步：在 Wazuh 中监控和调查警报在攻击进行的同时，Wazuh 收集了 Windows 事件日志和 Sysmon 遥测数据，为可疑活动生成警报。我审查了警报，调查了事件，分析了入侵指标（IOCs），并将攻击活动与 MITRE ATT&CK 技术相关联。 ### 截图：安全警报 ![Wazuh 警报](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/557f641a83043756.png) ### 截图：事件调查 ![事件调查](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/bd57f6d044043758.png) ## 第 8 步：安装 Ollama 进行 AI 辅助日志分析为了增强日志分析能力，我在 Ubuntu 服务器上安装了 Ollama 以运行本地大型语言模型（LLM）进行 AI 辅助网络安全调查。我创建了一个 shell 脚本，以便快速启动 Ollama 并加载用于安全日志分析的 AI 模型。使用 Ollama，我分析了在 MITRE Caldera 攻击模拟期间生成的 Wazuh 和 Sysmon 日志。AI 协助总结警报、识别入侵指标（IOCs）、解释可疑活动，并为事件调查提供额外的上下文。这种集成提高了审查安全事件的效率，并展示了 AI 如何通过加速日志分析和威胁调查来支持安全运营中心（SOC）的工作流程。 ### 截图：Ollama 安装 ![Ollama 安装](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/d71dc0ecd2043758.png) ### 截图：Shell 脚本 ![Shell 脚本](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/c3ad0cc63a043810.png) ### 截图：AI 日志分析 ## ![AI 分析](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/61356c10f0043811.png) ## 展示的技能 - Wazuh SIEM 管理 - Sysmon 配置和监控 - 端点检测和响应（EDR） - 安全信息和事件管理（SIEM） - 威胁检测和分析 - MITRE ATT&CK 框架 - 对手模拟 - 事件响应 - 威胁狩猎 - 日志分析 - AI 辅助安全分析 - 安全运营中心（SOC）工作流程 ## 项目架构 ``` +------------------+ | Kali Linux | | MITRE Caldera | +--------+---------+ | | Attack Simulation v +------------------+ | Windows 10 | | Wazuh Agent | | Sysmon | +--------+---------+ | | Logs & Telemetry v +------------------+ | Ubuntu Server | | Wazuh Manager | | Wazuh Dashboard | +--------+---------+ | | Log Analysis v +------------------+ | AI Analysis Tool | +------------------+ ``` ## 结论这个实验室提供了安全监控、端点可见性、威胁检测、对手模拟、事件调查和 AI 辅助日志分析的实际操作经验。通过将 Sysmon 与 Wazuh 集成并通过 MITRE Caldera 生成攻击活动，我在 SOC 工作流程和在企业安全环境中常用的网络安全工具方面获得了实践经验。 ## 项目贡献者这个家庭实验室项目是网络安全组织（NSO）成员的集体努力。向以下帮助设置和构建项目的成员表示敬意： * *

标签：BurpSuite集成, 速率限制