Malaiyappan-STUX05/siem-home-lab

# 家庭实验室 SIEM 实施 一个功能完整的**安全信息与事件管理 (SIEM)** 家庭实验室，使用 Wazuh 和 ELK Stack 构建，通过 2 台 Linux 虚拟机和 1 台 Windows 虚拟机进行日志收集、关联和安全事件检测。 ## 概述 构建家庭实验室是获得 SOC 实践技能的最佳方式。本项目部署了一个完整的 SIEM 环境，用于模拟真实世界的安全监控： - **2 台 Linux 虚拟机** — 运行 SSH、Nginx 和自定义脚本，生成身份验证/应用程序日志 - **1 台 Windows 虚拟机** — 通过 Sysmon 生成身份验证、进程和安全事件日志 - **Wazuh Manager** — 中央 SIEM 平台，在每台虚拟机上均部署了代理 - **ELK Stack** — Elasticsearch、Logstash、Kibana，用于日志分析和可视化 ## 架构 ``` [Linux VM 1] ──┐ ├──→ [Wazuh Manager] ──→ [ELK Stack] ──→ [Dashboards] [Linux VM 2] ──┤ │ │ └──→ Correlation Rules [Windows VM] ──┘ ├── Brute force detection ├── Lateral movement detection └── Suspicious process execution ``` ## 功能 - ✅ 集中收集来自 Linux 和 Windows 的日志 - ✅ 用于威胁检测的自定义关联规则 - ✅ 暴力破解身份验证检测 - ✅ 主机间的横向移动检测 - ✅ 可疑进程执行警报（PowerShell 编码命令） - ✅ SIEM 仪表板，展示日志量、警报趋势和热门检测类别 - ✅ 虚拟机之间的网络分段，模拟真实的多主机环境 ## 技术栈 - **Wazuh** — 开源 SIEM（管理器 + 代理） - **ELK Stack** — Elasticsearch、Logstash、Kibana - **Sysmon** — Windows 系统监控 - **Linux / Windows** — 虚拟机 - **VirtualBox/VMware** — 虚拟化 ## 检测规则 | 规则 | 描述 | 日志源 | |---|---|---| | 暴力破解检测 | 来自同一 IP 的多次失败的 SSH/RDP 登录 | 身份验证日志 | | 横向移动 | 虚拟机之间的异常连接模式 | 网络日志 | | 可疑进程 | PowerShell 编码命令，异常的二进制文件 | Sysmon | | 权限提升 | 未授权的 sudo/runas 事件 | 系统日志 | ## 未来增强计划 - [ ] 添加 pfSense 防火墙虚拟机以进行网络级别的检测 - [ ] 集成威胁情报源以进行 IOC 匹配 - [ ] 实施自动化响应剧本 - [ ] 添加蜜罐以吸引和分析攻击流量 ## 作者 **Malaiyappan S** — B.Tech CSE (网络安全), SRM IST ## 许可证 学术项目 — SRM 科学技术学院。

标签：ELK Stack, PE 加载器, Wazuh, 内容过滤, 安全实验室, 红队行动