Simplycoin404/SOC-Homelab-Wazuh

# SOC 家庭实验室 – Wazuh SIEM 部署 ## 概述 本项目记录了在家庭实验室中部署和配置 Wazuh SIEM 环境的过程。 本项目的目标是学习： * Linux 管理员 * Docker 容器管理 * SIEM 部署 * 端点监控 * 威胁狩猎 * 安全事件分析 ## 实验室环境 ### 主机机器 * Ubuntu 24.04 LTS * Docker * Docker Compose ### SIEM 平台 * Wazuh 管理器 * Wazuh 索引器 * Wazuh 仪表板 ### 测试系统 * Ubuntu 端点 * Kali Linux 攻击虚拟机 ## 部署过程 ### 步骤 1：安装 Docker 安装了 Docker 并验证了其运行。 ### 步骤 2：部署 Wazuh 下载了 Wazuh 单节点 Docker 部署。 ### 步骤 3：故障排除 遇到了证书和 OpenSearch 启动问题。 问题： * OpenSearch 启动失败。 * 证书路径配置不正确。 解决方案： * 使用 Wazuh 证书生成器重新生成证书。 * 重建容器。 * 验证索引器、管理器和仪表板服务。 ### 步骤 4：代理注册 将 Ubuntu 端点注册到 Wazuh。 验证： * 代理状态为 Active * 代理成功与管理者通信 ## 安全测试 ### Nmap 检测 从 Kali Linux 执行 Nmap 扫描。 观察到： * 网络服务器错误 * Nmap 用户代理检测 * Wazuh 警报生成 ### SSH 认证失败检测 从 Kali 生成失败的 SSH 登录尝试。 观察到： * 认证失败日志 * PAM 登录失败警报 * SSHD 事件检测 ## 威胁狩猎调查 通过 Wazuh 威胁狩猎审查生成的警报。 调查： * 源 IP * 代理名称 * 规则 ID * 事件时间戳 * 日志来源 * 警报严重性 ## 展示的技能 * Linux * Ubuntu 管理 * Docker * Docker Compose * Wazuh SIEM * 威胁狩猎 * 日志分析 * 安全监控 * 端点检测 * SSH 监控 * Nmap 检测 * 事件调查 ## 未来改进 * 添加 Windows 端点 * 添加 Sysmon 集成 * 添加漏洞扫描 * 创建自定义检测规则 * 构建攻击模拟 * 添加额外的 Linux 端点

标签：请求拦截