rahulllyadavvv/SOC-Analyst-Home-Lab
GitHub: rahulllyadavvv/SOC-Analyst-Home-Lab
基于 Wazuh SIEM 和 Sysmon 搭建的 SOC 家庭实验室,用于模拟暴力破解等攻击场景并验证自定义检测规则与事件响应全流程。
Stars: 0 | Forks: 0
# SOC 分析师家庭实验室 — 使用 Wazuh SIEM 进行暴力破解攻击检测
## 项目概述
一个功能齐全的 SOC 家庭实验室,旨在模拟、检测和记录真实的暴力破解攻击场景。该项目涵盖了完整的 SOC 分析师工作流程——从部署 SIEM 和配置端点遥测,到编写自定义检测规则、使用行业标准红队工具模拟攻击、对警报进行分类,以及生成正式的事件响应报告。
该实验室展示了对企业 SOC 环境中日常使用的工具和工作流程的实际操作能力。
## 实验室架构
```
┌─────────────────────────────┐ ┌──────────────────────────────┐
│ Windows 11 ARM VM │ │ Ubuntu Server VM │
│ (WindowsHost) │────────▶│ (Wazuh Manager) │
│ │ TCP │ │
│ • Wazuh Agent v4.14.5 │ 1514 │ • Wazuh Manager 4.14.5 │
│ • Sysmon (Deep Telemetry) │ │ • Wazuh Dashboard │
│ • Atomic Red Team │ │ • OpenSearch │
│ • PowerShell (Attacker) │ │ • Custom Detection Rules │
│ │ │ │
│ IP: 10.0.2.15 │ │ IP: 192.168.29.168 │
└─────────────────────────────┘ └──────────────────────────────┘
```
## 工具与技术
| 工具 | 版本 | 用途 |
|------|---------|---------|
| Wazuh | 4.14.5 | SIEM — 日志摄取、关联、告警 |
| Sysmon | 最新版 | 深度 Windows 端点遥测 |
| Atomic Red Team | 最新版 | 映射 MITRE ATT&CK 的攻击模拟 |
| Windows 11 ARM | 10.0.26200 | 目标端点 |
| Ubuntu Server | 最新 LTS | Wazuh 管理器和仪表板主机 |
| OpenSearch | 内置 | 日志存储和可视化 |
| VirtualBox | 最新版 | 用于两台虚拟机的 Hypervisor |
## 模拟的攻击
| 技术 ID | 技术名称 | 使用工具 | 目标 |
|---|---|---|---|
| T1110.001 | 暴力破解:密码猜测 | Atomic Red Team | 本地 Windows 身份验证 |
| T1110.003 | 暴力破解:密码喷洒 | Atomic Red Team | 本地 Windows 身份验证 |
| T1003.001 | OS 凭据转储:LSASS 内存 | Atomic Red Team | LSASS 进程 |
## 实现的检测
| 规则 ID | 描述 | 严重性 | MITRE 技术 | 数据源 |
|---------|-------------|----------|-----------------|-------------|
| 92213 | 可执行文件被释放到恶意软件常用的文件夹中 | **Level 15 — 严重** | T1105 — 入侵工具传输 | Sysmon EID 11 |
| 92910 | 检测到 Explorer 进程注入 | **Level 12 — 高** | T1055 — 进程注入 | Sysmon |
| 61618 | Sysmon — 可疑进程:svchost.exe | **Level 12 — 高** | T1055 — 进程注入 | Sysmon |
| 100001 | 60秒内出现5次以上失败登录(自定义规则) | **Level 10 — 高** | T1110 — 暴力破解 | Security EID 4625 |
## 截图
### 1. Wazuh 仪表板中处于活跃状态的 Windows 代理
代理 `WindowsHost` (ID: 001) 已连接,并报告其运行 Windows 11 Home 的 IP `10.0.2.15`。
### 2. 已加载自定义检测规则
使用 XML 编写的四个自定义 Wazuh 关联规则,涵盖暴力破解、凭据转储和 LSASS 访问检测。
### 3. Atomic Red Team 攻击执行
`Invoke-AtomicTest T1003.001` 在 Windows 11 上执行 —— 模拟 LSASS 凭据转储,同时运行多个子技术。
### 4. Level 15 严重告警 — 检测到攻击工具
规则 92213 以最高严重级别(Level 15)触发。Sysmon EID 11 检测到 PowerShell 将 `.ps1` 脚本释放到 Temp 目录中 —— 一种已知的攻击者暂存行为。自动映射了 MITRE T1105(入侵工具传输)。该警报在会话期间触发了 20 次。
### 5. 告警列表 — 威胁狩猎视图
在攻击会话期间捕获了 58 个 Level 12 或以上的告警。触发警报的多个规则 ID 包括 92213(Level 15)、92910 和 61618(Level 12)。13:00–15:00 的时间轴上清晰可见攻击高峰。
### 6. MITRE ATT&CK 仪表板
检测并自动映射了多种 MITRE 战术:Command and Control (T1105)、Execution、Lateral Movement、Persistence、Privilege Escalation 和 Defense Evasion。按数量计算,Ingress Tool Transfer 是最主要的技术。
### 7. 威胁狩猎仪表板 — 攻击时间轴
共捕获 1,263 个事件。在攻击执行期间,Sysmon 和 Windows 警报组出现明显的高峰。排名前 5 的警报主要为“可执行文件被释放到恶意软件文件夹中”,确认成功检测到了 Atomic Red Team 工具。
## 编写的自定义规则
从头开始设计了四个自定义 Wazuh 关联规则。完整文件:[`detection-rules/local_rules.xml`](detection-rules/local_rules.xml)
| 规则 ID | 逻辑 | Level | MITRE |
|---------|-------|-------|-------|
| 100001 | 60秒内来自同一IP的5次以上失败登录 | 10 | T1110 |
| 100002 | 多次失败登录后的成功登录 | 14 | T1110 |
| 100003 | 通过 Sysmon 检测到 Mimikatz 原始文件名 | 15 | T1003.001 |
| 100004 | 通过 Sysmon Event ID 10 访问 LSASS 内存 | 15 | T1003.001 |
逐行详细解释:[`detection-rules/rule-explanation.md`](detection-rules/rule-explanation.md)
## 项目结构
```
SOC-Analyst-Home-Lab/
├── README.md
├── lab-setup/
│ ├── architecture.md # Lab setup and configuration steps
│ └── sysmon-setup.md # Sysmon deployment guide
├── detection-rules/
│ ├── local_rules.xml # 4 custom Wazuh detection rules
│ └── rule-explanation.md # Line-by-line rule breakdown
├── attack-simulation/
│ └── attack-commands.md # Exact commands run during simulation
├── evidence/
│ ├── alert_T1105.json # Raw alert JSON — Level 15 detection
│ └── screenshots/ # All 7 lab screenshots
└── incident-report/
└── IR-001-BruteForce.md # Formal incident response report
```
## 展现的核心 SOC 技能
- **SIEM 部署** — 在 Ubuntu 上进行端到端的 Wazuh 安装和配置
- **端点遥测** — 部署 Sysmon 以实现深度的 Windows 事件可见性
- **自定义规则工程** — 具有频率/时间范围逻辑的基于 XML 的 Wazuh 关联规则
- **MITRE ATT&CK 映射** — 标记并在 ATT&CK 仪表板中可见的技术
- **威胁模拟** — 执行 Atomic Red Team 的真实 ATT&CK 技术
- **告警分类** — 跨 Security 和 Sysmon 渠道调查多源警报
- **日志分析** — 直接分析原始 JSON 告警日志和归档
- **事件响应** — 包含攻击时间轴、IOC 和建议的正式 IR 报告
- **故障排除** — 诊断并解决 XML 规则错误、日志收集间隙、规则链不匹配问题
## 事件报告
在攻击模拟之后生成了一份正式的事件响应报告。
[查看 IR-001 — 暴力破解检测报告](incident-report/IR-001-BruteForce.md)
## 作者
**Rahul Yadav**
SOC 分析师 | 蓝队 | 威胁检测
[GitHub](https://github.com/rahulllyadavvv)
标签:AI合规, Sysmon, Wazuh, 安全运营, 实验室环境, 库, 应急响应, 扫描框架, 红队行动, 网络信息收集