Securewithbrown/Wazuh-Home-Lab

# Wazuh 家庭实验室：安全监控与威胁检测 ## 概述 本项目展示了基于 Wazuh 的安全信息与事件管理 (SIEM) 家庭实验室的设计、部署和运行。该实验室模拟了一个安全运营中心 (SOC) 环境，能够收集日志、监控 endpoint、检测可疑活动并调查安全事件。 本项目的目标是利用 Wazuh 和 Sysmon，获得安全监控、威胁检测、日志分析、endpoint 可见性以及事件响应方面的实践经验。 ## Wazuh 仪表板  *图 1：Wazuh 仪表板显示了 endpoint 监控、安全警报和系统状态。* ## 实验室架构 ### 组件 * Ubuntu Server (Wazuh Manager 和 Dashboard) * Windows 11 Endpoint (Wazuh Agent + Sysmon) * Ubuntu Endpoint (Wazuh Agent) * Kali Linux (攻击模拟系统) ### 架构图  ## 使用的技术 * Wazuh * Sysmon * Ubuntu Linux * Windows 11 * Kali Linux * Hydra * SSH * 文件完整性监控 (FIM) ## 项目目标 * 部署并配置 Wazuh SIEM 环境。 * 监控 Windows 和 Linux endpoint。 * 集成 Sysmon 以增强 Windows 遥测数据。 * 检测并调查可疑活动。 * 通过攻击模拟验证安全监控。 * 记录安全事件和发现。 ## 已实现的安全监控功能 ### Endpoint 监控 * 使用 Wazuh Agent 和 Sysmon 监控 Windows endpoint。 * 使用 Wazuh Agent 监控 Ubuntu endpoint。 ### 文件完整性监控 (FIM) 配置 Wazuh 监控关键文件和目录的： * 文件创建 * 文件修改 * 文件删除 ### 身份验证监控 监控 SSH 身份验证日志以检测： * 登录失败尝试 * 反复的身份验证失败 * 暴力破解攻击模式 ### 主动响应 实施了自动响应操作，通过 IP 封锁来遏制暴力破解攻击。 ## 攻击模拟 ### SSH 暴力破解攻击 目标： 验证 Wazuh 检测和响应重复 SSH 身份验证失败的能力。 结果： * 生成了多个身份验证失败警报。 * 识别了源 IP。 * 主动响应成功封锁了攻击 IP。 ### 文件完整性监控验证 目标： 验证对未经授权的文件更改的检测。 结果： * 检测到文件创建。 * 检测到文件修改。 * 检测到文件删除。 * 成功生成并调查了警报。 ## 展示的技能 * SIEM 部署与配置 * 安全监控 * 威胁检测 * 日志分析 * 事件调查 * 主动响应配置 * Linux 管理 * Windows Endpoint 监控 * 网络安全文档编写 ## 仓库结构 ``` wazuh-home-lab/ ├── 00-architecture/ ├── 01-installation/ ├── 02-agents/ ├── 03-monitoring/ ├── 04-configurations/ ├── 05-attack-simulations/ ├── 06-incident-response ├── screenshots/ └── Professional-summary ``` ## 关键经验教训 * 有效的安全监控需要跨多个 endpoint 的可见性。 * Sysmon 显著改善了 Windows endpoint 的遥测数据。 * Wazuh 为日志分析和威胁检测提供了强大的功能。 * 自动响应机制减少了事件遏制时间。 * 适当的文档记录对于事件响应和安全运营至关重要。 ## 未来改进 * PowerShell 滥用检测 * 恶意软件模拟测试 * 权限提升检测 * 云安全监控 * AWS 安全集成 * 额外的主动响应 Playbook ## 作者 Idris Ibrahim 网络安全爱好者 | SOC Analyst | 未来云安全工程师

标签：BurpSuite集成, Wazuh, x64dbg, 内存分配, 安全运营中心, 攻击模拟, 红队行动, 网络映射, 驱动签名利用