recon-0xyash/wazuh-siem-homelab

# Wazuh SIEM 家庭实验室 ## 概述 本项目演示了使用 Wazuh 进行安全信息与事件管理 (SIEM) 环境的设计、部署和运营。 该实验室包含： - Wazuh Manager、Indexer 和 Dashboard - 配备 Sysmon 的 Windows 11 终端 - 配备 Auditd 的 Ubuntu 终端 - Kali Linux 攻击工作站 本项目重点关注遥测工程、检测开发、攻击模拟、威胁狩猎，以及与 MITRE ATT&CK 框架保持一致的事件响应。 ## 使用的技术 - Wazuh - Windows 11 - Ubuntu 20.04 - Kali Linux - Sysmon - Auditd - MITRE ATT&CK - Nmap - Hydra - SMBClient - NetExec # 项目状态 ## 阶段 1 – 架构与规划 ✅ * 设计了虚拟 SOC 实验室架构 * 创建了主机和资产清单 * 记录了日志架构和数据流 * 建立了网络分段和通信路径 ## 阶段 2 – Wazuh 基础设施部署 ✅ * 部署了 Wazuh Manager、Indexer 和 Dashboard * 配置了 Windows 和 Ubuntu 终端 * 注册并验证了 Wazuh agent * 验证了安全的 agent 与 manager 通信 * 确认了端到端的日志接入 ## 阶段 3 – 遥测工程 ✅ ### Windows 遥测 * 部署了 Microsoft Sysmon * 启用了进程创建监控 * 配置了注册表活动监控 * 通过 Sysmon 遥测增强了终端可见性 ### Linux 遥测 * 部署了 Auditd * 启用了用户活动审计 * 配置了对敏感系统文件的监控 ### 文件完整性监控 (FIM) * 监控了文件创建事件 * 监控了文件修改事件 * 监控了文件删除事件 ### 验证 通过 Wazuh 平台成功收集、集中化并分析了 Windows 和 Linux 的安全遥测数据。 ## 阶段 4 – 检测工程 ✅ ### 目标 在 Wazuh SIEM 环境中开发、验证和调查安全检测。 ### 已实现的检测 * 账户发现检测 * PowerShell 活动检测 * 失败的身份验证检测 * 可疑脚本创建检测 * 可执行文件植入检测 * 自定义 PowerShell 检测规则 ### 展现的技能 * 检测工程 * SIEM 管理 * 告警调查与分析 * 自定义规则开发 * MITRE ATT&CK 映射 * 安全监控与验证 ## 阶段 5 – 攻击模拟与事件响应 ✅ ### Windows 攻击模拟 * Nmap 侦察 * 失败登录攻击模拟 * SMB 枚举 ### Linux 攻击模拟 * SSH 暴力破解攻击 * 敏感文件访问监控 * 权限提升枚举 ### 调查活动 * 告警分类 * 威胁狩猎 * 安全事件分析 * 事件调查 * 根本原因分析 * 事件报告 ### MITRE ATT&CK 覆盖范围 * T1595 – 主动扫描 * T1046 – 网络服务发现 * T1110 – 暴力破解 * T1135 – 网络共享发现 * T1005 – 本地系统数据 * T1083 – 文件和目录发现 * T1087 – 账户发现 * T1069 – 权限组发现 ### 验证 在 Windows 和 Linux 终端上成功生成、检测、调查并记录了模拟攻击活动。 ## 阶段 6 – 威胁狩猎与检测优化 ✅ ### 目标 评估检测有效性、执行威胁狩猎活动、分析告警质量，并评估 Wazuh SIEM 环境中的整体可见性。 ### 已执行的活动 * 跨 Windows 和 Linux 终端的威胁狩猎 * 检测验证与审查 * MITRE ATT&CK 覆盖范围分析 * 误报分析 * 检测调优与优化 ### 交付成果 * 威胁狩猎报告 * MITRE ATT&CK 覆盖矩阵 * 误报分析报告 * 检测调优报告 ### 成果 验证了对模拟攻击者活动的可见性，评估了检测覆盖范围，并确定了未来检测改进和调优的机会。

标签：CTI, PE 加载器, Wazuh, 安全运营中心, 插件系统, 网络映射