trishab0807-lgtm/-SOC-HomeLab-Wazuh-

GitHub: trishab0807-lgtm/-SOC-HomeLab-Wazuh-

基于 Wazuh SIEM v4.14.5 构建的 SOC 家庭实验室，通过模拟真实攻击验证威胁检测与事件响应流程。

Stars: 0 | Forks: 0

# 🛡️ SOC 家庭实验室 — Wazuh SIEM 威胁检测 **部署 · 检测 · 调查 · 报告** ![Wazuh](https://img.shields.io/badge/Wazuh-v4.14.5-blue?style=flat-square) ![Platform](https://img.shields.io/badge/Platform-VirtualBox-lightgrey?style=flat-square) ![Attacks](https://img.shields.io/badge/Attacks_Simulated-3-red?style=flat-square) ![MITRE](https://img.shields.io/badge/MITRE_ATT%26CK-Mapped-orange?style=flat-square) ![Reports](https://img.shields.io/badge/Incident_Reports-3-green?style=flat-square) ![License](https://img.shields.io/badge/License-MIT-green?style=flat-square) **一个使用 Wazuh SIEM v4.14.5 构建的完整家庭安全运营中心 (SOC) 实验室。在 Windows 10 endpoint 上模拟了三种真实世界的网络攻击，并进行了实时检测——直接反映了 Tier 1 SOC 分析师的日常工作。**

## 📋 目录 - [概述](#-overview) - [实验室架构](#-lab-architecture) - [模拟的攻击](#-attacks-simulated) - [截图](#-screenshots) - [事件报告](#-incident-reports) - [MITRE ATT&CK 覆盖范围](#-mitre-attck-coverage) - [项目结构](#-project-structure) - [展示的技能](#-skills-demonstrated) - [设置指南](#-setup-guide) - [免责声明](#-disclaimer) ## 🎯 概述本项目记录了一个使用 **Wazuh SIEM v4.14.5**（一个开源的安全信息和事件管理平台）构建的完整家庭 SOC 实验室。使用 Wazuh agent 和 Sysmon（SwiftOnSecurity config）监控一个 Windows 10 endpoint。通过 Wazuh dashboard 实时模拟并检测了三种真实世界的攻击技术。每次检测都记录为正式的**事件报告**，包含 IOC 提取、时间线、MITRE ATT&CK 映射和修复建议——完全如同真实的 SOC 分析师所制作的那样。 ## 🏗️ 实验室架构 ``` ┌──────────────────────────────────────────────────────────────┐ │ HOST MACHINE (Your PC) │ │ │ │ ┌─────────────────────┐ ┌──────────────────────────┐ │ │ │ WAZUH OVA v4.14.5 │ │ WINDOWS 10 PRO VM │ │ │ │ (SIEM Server) │◄──►│ (Monitored Endpoint) │ │ │ │ 192.168.189.4 │ │ 192.168.189.5 │ │ │ │ Dashboard: :443 │ │ Wazuh Agent + Sysmon │ │ │ └─────────────────────┘ └──────────────────────────┘ │ │ └─────── Host-Only Network 192.168.189.0/24 ────────┘ └──────────────────────────────────────────────────────────────┘ ``` | VM | 角色 | IP | 关键服务 | |---|---|---|---| | Wazuh OVA | SIEM Server | 192.168.189.4 | Dashboard, Manager, Indexer | | Windows 10 | 受监控的 Endpoint | 192.168.189.5 | Wazuh Agent, Sysmon64 | ## ⚔️ 模拟的攻击 | # | 攻击 | MITRE 技术 | Wazuh 规则 | Windows 事件 | 严重程度 | |---|---|---|---|---|---| | 1 | 暴力破解登录 | T1110.001 — Password Guessing | 60122 | 4625 × 10 | 中 | | 2 | 权限提升 | T1136.001 — Create Local Account | 60002 | 4720 + 4732 | 高 | | 3 | 编码的 PowerShell | T1059.001 — PowerShell | 92200 | Sysmon EID 1 | 高 | ## 📸 截图 ### 实验室设置 — 在 VirtualBox 中导入的 Wazuh OVA ![VirtualBox](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/01-wazuh-ova-imported.png) ### 所有 3 个 Wazuh 服务均处于活动状态 (运行中) ![Services](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/02-wazuh-services-running.png) ### Wazuh Dashboard — 安全事件概述 ![Dashboard](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/03-wazuh-dashboard-home.png) ### Wazuh Endpoints 中处于活动状态的 Windows Agent ![Agent](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/04-agent-active-dashboard.png) ### Sysmon64 已安装 — 事件正流向 Wazuh ![Sysmon](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/05-sysmon-installed.png) ### 攻击 1 — 暴力破解 PowerShell 脚本 (10 次失败) ![BruteForce PS](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/06-brute-force-powershell.png) ### 攻击 1 — Wazuh Dashboard 中的规则 60122 警报 ![BruteForce Wazuh](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/07-brute-force-wazuh-alerts.png) ### 攻击 2 — 权限提升 — 创建了 hacker 账户 ![PrivEsc PS](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/08-privesc-powershell.png) ### 攻击 2 — 规则 60002 警报 — 新建管理员账户 ![PrivEsc Wazuh](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/09-privesc-wazuh-alert.png) ### 攻击 3 — 编码的 PowerShell 检测 + CyberChef 解码 ![EncodedPS](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/10-encoded-powershell-detection.png) ### MITRE ATT&CK 映射 — 所有 3 种技术 ![MITRE](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/11-mitre-attack-mapping.png) ### Wazuh API 在线 — v4.14.5 ![API](https://raw.githubusercontent.com/trishab0807-lgtm/-SOC-HomeLab-Wazuh-/main/screenshots/12-wazuh-api-online.png) ## 📋 事件报告 | 报告 | 攻击 | 严重程度 | MITRE | |---|---|---|---| | [IR-001 — 暴力破解](incident-reports/IR-001-BruteForce.md) | 10 次失败的登录尝试 | 中 | T1110.001 | | [IR-002 — 权限提升](incident-reports/IR-002-PrivilegeEscalation.md) | 创建后门管理员账户 | 高 | T1136.001 | | [IR-003 — 编码的 PowerShell](incident-reports/IR-003-EncodedPowerShell.md) | Base64 混淆命令 | 高 | T1059.001 | ## 🎯 MITRE ATT&CK 覆盖范围 | 技术 | 名称 | 战术 | 检测 | |---|---|---|---| | T1110.001 | Password Guessing | Credential Access | 规则 60122 — 事件 4625 | | T1136.001 | Create Local Account | Persistence + Privilege Escalation | 规则 60002 — 事件 4720/4732 | | T1059.001 | PowerShell | Execution + Defense Evasion | 规则 92200 — Sysmon EID 1 | ## 📁 项目结构 ``` SOC-HomeLab-Wazuh/ │ ├── README.md ├── PROJECT_DOCUMENTATION.md ├── INSTALLATION.md ├── ARCHITECTURE.md ├── CHANGELOG.md / CONTRIBUTING.md / SECURITY.md ├── LICENSE / .gitignore ├── WazuhSOC_Complete_Report.docx ← Full 25-page Word report │ ├── screenshots/ ← 12 PNG screenshots │ ├── 01-wazuh-ova-imported.png │ ├── 02-wazuh-services-running.png │ ├── 03-wazuh-dashboard-home.png │ ├── 04-agent-active-dashboard.png │ ├── 05-sysmon-installed.png │ ├── 06-brute-force-powershell.png │ ├── 07-brute-force-wazuh-alerts.png │ ├── 08-privesc-powershell.png │ ├── 09-privesc-wazuh-alert.png │ ├── 10-encoded-powershell-detection.png │ ├── 11-mitre-attack-mapping.png │ └── 12-wazuh-api-online.png │ ├── incident-reports/ │ ├── IR-001-BruteForce.md │ ├── IR-002-PrivilegeEscalation.md │ └── IR-003-EncodedPowerShell.md │ ├── configs/ │ └── sysmonconfig.xml │ └── docs/ ├── lab-architecture-diagram.png └── attack-flow-diagram.png ``` ## 💼 展示的技能 | 技能 | 证据 | |---|---| | SIEM 部署 | Wazuh OVA 已导入，3 个服务正在运行，API 在线 | | Agent 管理 | Wazuh agent 部署在 Windows 10 上，状态为 Active | | Sysmon 配置 | SwiftOnSecurity config — EID 1, 3, 7, 11 | | 威胁检测 | 规则 60122, 60002, 92200 — 全部 3 次攻击均被检测到 | | MITRE ATT&CK | T1110.001, T1136.001, T1059.001 已映射 | | 事件响应 | 3 份包含 IOC、时间线和建议的正式 IR 报告 | | 日志分析 | Windows Event ID 4625, 4720, 4732, Sysmon EID 1 | | Blue Team | 警报分类、调查工作流、修复 | ## 🚀 设置指南请查看 [INSTALLATION.md](INSTALLATION.md) 获取完整的分步设置指南。 **快速开始：** ``` # 将 Wazuh OVA 导入 VirtualBox # 在两台 VM 上配置 Host-Only networking # 访问 dashboard: https://192.168.189.4 # 从 dashboard 在 Windows VM 上部署 agent # 使用 sysmonconfig.xml 安装 Sysmon # 运行攻击模拟并在 dashboard 中检测 ``` ## ⚠️ 免责声明此处记录的所有攻击均在作者个人拥有的系统上的完全隔离的 VirtualBox 实验室环境中进行模拟。根据 IT Act 2000（印度）、CFAA（美国）及全球同等法律，未经授权访问计算机系统是非法行为。

由 Bandari Trisha 构建 | SOC 家庭实验室作品集 | 2024 年 11 月 | 如有帮助请 ⭐ Star

标签：AI合规, AMSI绕过, BurpSuite集成, Wazuh, 入侵分析, 威胁检测, 安全实验室, 安全运营, 库, 应急响应, 扫描框架