BenmezOthmane/Modern-Defense-Pipeline-Lab
GitHub: BenmezOthmane/Modern-Defense-Pipeline-Lab
一个基于 Wazuh SIEM 的端到端 SOC 实验室,模拟从检测工程、攻击模拟到告警验证与事件响应的完整防御工作流程。
Stars: 0 | Forks: 0
# 现代防御 Pipeline 实验室
## 概述
现代防御 Pipeline 实验室是一个动手实践的网络安全项目,旨在模拟一个小型企业安全环境。
该实验室的目标是展示安全分析师的完整工作流程:从检测工程和攻击模拟,到告警验证、调查、事件响应以及最终报告。
## 项目目标
该项目构建了一个真实的防御 pipeline,其中安全事件从受监控的 endpoint 收集,在 SIEM 内进行分析,与检测规则进行匹配,并作为安全事件进行调查。
该实验室侧重于记录完整的整个过程:
```
Detection Rules
-> Attack Simulation
-> Alert Generation
-> Analyst Triage
-> Incident Response
-> Incident Report
```
## 实验室环境
该实验室使用了以下系统:
| 系统 | 角色 |
|---|---|
| Windows 10 Pro | 由 Wazuh Agent 监控的目标 endpoint |
| Windows Server Datacenter 2022 | Active Directory 域控制器 |
| Kali Linux | 用于受控模拟的攻击机 |
| Ubuntu Server | 使用 Docker 运行 Wazuh Manager 的 SIEM 服务器 |
## 工具与技术
- Wazuh Manager
- Wazuh Agent
- Wazuh Dashboard
- Docker
- Sysmon
- Windows 安全日志
- Active Directory
- Kali Linux 攻击工具
- MITRE ATT&CK
## 检测场景
该项目将包含以下场景的检测与验证:
| 场景 | 目的 |
|---|---|
| 端口扫描检测 | 识别针对暴露服务的探测活动 |
| 暴力破解检测 | 检测重复的认证失败 |
| 可疑 PowerShell 检测 | 检测可疑的命令执行和潜在的 payload 活动 |
| 注册表持久化检测 | 检测通过 Windows 自启动注册表键实现的持久化 |
| 权限提升检测 | 检测可疑的权限或管理员组变更 |
## 架构
```
flowchart LR
Kali["Kali Linux
Attacker"] --> Win10["Windows 10 Pro
Target Endpoint"] WinServer["Windows Server 2022
Active Directory"] --> Win10 Win10 --> Sysmon["Sysmon
Endpoint Telemetry"] Win10 --> Agent["Wazuh Agent"] Sysmon --> Agent Agent --> Wazuh["Ubuntu Server
Wazuh Manager on Docker"] Wazuh --> Dashboard["Wazuh Dashboard
Alerts and Investigation"] ``` ## 预期结果 该项目的最终结果是一个已记录的 SOC 风格工作流程,展示了我如何从编写检测规则发展到验证真实告警,并为每个模拟攻击场景生成事件报告。 此仓库旨在展示以下方面的实践技能: - 构建防御安全实验室 - 收集 endpoint 遥测数据 - 编写和组织检测规则 - 在受控环境中模拟攻击 - 在 Wazuh 中验证告警 - 将检测映射到 MITRE ATT&CK - 执行事件分诊和响应 - 编写专业的事件报告 ## 仓库结构 ``` docs/ lab-environment/ wazuh-siem/ endpoint-security/ logs-collection/ detection-engineering/ attack-simulation/ incident-response/ reports/ screenshots/ ``` ## 项目状态 状态:进行中 | 阶段 | 状态 | |---|---| | 项目结构 | 已完成 | | 实验室环境搭建 | 已完成 | | Wazuh SIEM 部署 | 已完成 | | Endpoint 遥测设置 | 已完成 | | 检测工程 | 进行中 | | 攻击模拟 | 已计划 | | 告警验证 | 已计划 | | 事件响应 | 已计划 | | 事件报告 | 已计划 | ## 作者 **Othmane BenMezian** 网络安全 / SOC 分析师作品集项目 此项目是作为一个实践实验室创建的,旨在展示在检测工程、SIEM 监控、攻击模拟、事件响应和安全报告方面的实践技能。
Attacker"] --> Win10["Windows 10 Pro
Target Endpoint"] WinServer["Windows Server 2022
Active Directory"] --> Win10 Win10 --> Sysmon["Sysmon
Endpoint Telemetry"] Win10 --> Agent["Wazuh Agent"] Sysmon --> Agent Agent --> Wazuh["Ubuntu Server
Wazuh Manager on Docker"] Wazuh --> Dashboard["Wazuh Dashboard
Alerts and Investigation"] ``` ## 预期结果 该项目的最终结果是一个已记录的 SOC 风格工作流程,展示了我如何从编写检测规则发展到验证真实告警,并为每个模拟攻击场景生成事件报告。 此仓库旨在展示以下方面的实践技能: - 构建防御安全实验室 - 收集 endpoint 遥测数据 - 编写和组织检测规则 - 在受控环境中模拟攻击 - 在 Wazuh 中验证告警 - 将检测映射到 MITRE ATT&CK - 执行事件分诊和响应 - 编写专业的事件报告 ## 仓库结构 ``` docs/ lab-environment/ wazuh-siem/ endpoint-security/ logs-collection/ detection-engineering/ attack-simulation/ incident-response/ reports/ screenshots/ ``` ## 项目状态 状态:进行中 | 阶段 | 状态 | |---|---| | 项目结构 | 已完成 | | 实验室环境搭建 | 已完成 | | Wazuh SIEM 部署 | 已完成 | | Endpoint 遥测设置 | 已完成 | | 检测工程 | 进行中 | | 攻击模拟 | 已计划 | | 告警验证 | 已计划 | | 事件响应 | 已计划 | | 事件报告 | 已计划 | ## 作者 **Othmane BenMezian** 网络安全 / SOC 分析师作品集项目 此项目是作为一个实践实验室创建的,旨在展示在检测工程、SIEM 监控、攻击模拟、事件响应和安全报告方面的实践技能。
标签:Terraform 安全, Wazuh, 安全运营中心(SOC), 安全防御实验室, 插件系统, 构建工具, 请求拦截