Shreyas993/wazuh-siem-homelab

# Wazuh SIEM 家庭实验室  ## 概述 本项目展示了如何使用 Wazuh、Sysmon、Windows 11 和 Kali Linux 搭建一个安全信息与事件管理（SIEM）家庭实验室。目标是模拟常见的攻击者技术、收集端点遥测数据、生成安全警报，并使用基于 MITRE ATT&CK 映射的检测进行威胁狩猎。 实验室环境配置了一个运行 Sysmon 和 Wazuh agent 的 Windows 11 端点、一台用于日志收集和分析的专用 Wazuh 服务器，以及一台用于攻击模拟的 Kali Linux 机器。项目中执行了多个攻击场景，包括 PowerShell 活动、账户操纵、账户发现、agent 断连和文件下载活动。生成的遥测数据通过 Wazuh 仪表板进行分析，以验证检测结果并调查安全事件。 该项目提供了端点监控、日志分析、威胁狩猎、SIEM 管理以及安全事件调查的实践经验。 ## 实验室环境 该家庭实验室环境由运行在 VirtualBox 上的三个主要虚拟机组成： * **Windows 11** – 配置为受监控的端点。安装 Sysmon 以生成详细的遥测数据，并配置 Wazuh agent 将日志转发到 SIEM 平台。 * **Ubuntu Server** – 托管 Wazuh 平台，包括用于日志收集、分析和可视化的 Wazuh Manager、Indexer 和 Dashboard 组件。 * **Kali Linux** – 用于在实验室环境中模拟攻击者活动并执行安全测试。 Windows 端点和 Wazuh 服务器通过专用虚拟网络连接，以实现安全的日志收集和监控。通过 Wazuh Dashboard 收集并分析 Sysmon 事件、Windows 安全事件和 Wazuh agent 遥测数据，用于威胁检测和调查。 此外还准备了一台额外的 **Metasploitable** 虚拟机，用于未来的漏洞评估和攻击模拟活动；但是，它并未用于本项目文档中记录的检测场景。 ## 使用的技术 ### 虚拟化 * Oracle VirtualBox ### 操作系统 * Windows 11 * Ubuntu Server * Kali Linux * Metasploitable（为未来测试准备） ### 安全监控 * Wazuh * Sysmon ### 威胁狩猎与分析 * Wazuh Dashboard * MITRE ATT&CK 框架 ### 网络与安全工具 * Nmap * Windows Event Viewer * PowerShell * 命令提示符 (Command Prompt) ### 文档 * GitHub * Draw.io ## 仪表板概述 在整个项目中，Wazuh Dashboard 作为监控、警报分析和威胁狩猎活动的核心界面。从 Windows 11 端点收集的安全事件被转发到 Wazuh 服务器，并在此进行索引、关联和可视化。 该仪表板提供了对以下内容的可见性： * 端点状态和 agent 健康 * 安全事件趋势 * 警报严重性分布 * MITRE ATT&CK 映射的检测 * 威胁狩猎调查 * 安全事件分析和验证 本仓库中包含的截图展示了在警报监控和调查活动期间使用的操作仪表板视图。  ## MITRE ATT&CK 映射 Wazuh 平台用于将安全事件与 MITRE ATT&CK 框架进行关联，为检测和调查活动提供额外的上下文。在测试期间，多次攻击模拟生成的警报被自动映射到 ATT&CK 战术和技术。 映射检测的示例包括： | 技术 ID | 技术 | 战略 | | ------------ | ----------------------- | ------------------- | | T1087 | 账户发现 | 发现 | | T1098 | 账户操纵 | 持久化 | | T1105 | 入口工具转移 | 命令与控制 | | T1562.001 | 禁用或修改工具 | 防御规避 | ATT&CK 框架提供了一种结构化的方法来理解攻击者行为，并验证安全事件是否在 SIEM 环境中得到了正确分类。 ## 检测场景 执行了以下检测场景，以验证家庭实验室环境中的日志收集、警报生成、威胁狩猎工作流以及 MITRE ATT&CK 映射。 ### 场景 1 – PowerShell 执行检测 使用 Sysmon 和 Wazuh 验证了 PowerShell 活动的收集和分析。 ### 场景 2 – 编码 PowerShell 检测 执行了 Base64 编码的 PowerShell 命令，以模拟潜在的可疑命令执行行为。 ### 场景 3 – 本地用户创建检测 创建了本地用户账户，并验证该活动生成了相关的 Windows 安全警报。 ### 场景 4 – 账户发现检测 使用原生 Windows 命令执行了账户枚举活动，并调查了由此产生的检测。 ### 场景 5 – Agent 断连检测 通过观察 Wazuh agent 变得不可用时生成的警报，验证了监控能力。 ### 场景 6 – 误报调查 调查了最初看似可疑的与 Windows 更新相关的活动，并将其验证为合法行为。 ### 场景 7 – PowerShell 文件下载检测 使用 PowerShell 模拟了文件下载，并调查了映射到 MITRE ATT&CK 技术 T1105 的高严重性警报。 ## 威胁狩猎活动 使用 Wazuh Dashboard 进行了威胁狩猎活动，以识别、调查和验证测试期间生成的安全事件。对收集到的端点遥测数据、Windows 安全日志和 Sysmon 事件执行了搜索，以分析攻击者行为并验证警报的准确性。 威胁狩猎活动的示例包括： * 调查 PowerShell 执行事件 * 审查账户创建和账户操纵活动 * 分析账户发现命令 * 验证 agent 连接和监控状态 * 审查 MITRE ATT&CK 映射的检测 * 调查由合法 Windows 活动生成的潜在误报 这些活动有助于验证是否收集了相关的遥测数据，以及是否可以使用 SIEM 平台有效地调查警报。  ## 遇到的挑战 在家庭实验室的开发过程中，遇到了并解决了几个技术挑战。 * Sysmon 事件最初在 Windows 端点上可见，但并未出现在 Wazuh 仪表板中。 * 系统之间的时间同步差异使事件验证和调查变得更加困难。 * Wazuh agent 连接问题偶尔会导致遥测收集中断。 * 一些攻击模拟生成了日志，但未产生相应的警报，这突显了日志收集与检测之间的区别。 * 误报警报需要额外的调查，以确定活动是恶意的还是合法的。 解决这些问题提供了在 SIEM 故障排除、日志分析和安全监控操作方面的宝贵经验。 ## 经验教训 该项目在构建和操作用于安全监控和威胁检测的 SIEM 环境方面提供了实践经验。 获得的主要经验教训包括： * 有效的监控取决于正确的遥测收集和配置。 * 记录日志不会自动产生检测；警报规则和关联同样重要。 * MITRE ATT&CK 框架为理解攻击者行为提供了宝贵的上下文。 * 在得出结论之前，必须对误报进行调查。 * 通过 Sysmon 配置和日志丰富，可以显著提高端点的可见性。 * 威胁狩猎是验证检测和了解安全事件的一项重要活动。 该项目还提高了 Windows 事件分析、SIEM 管理、威胁狩猎和安全调查工作流方面的技能。 ## 其他文档 有关详细的项目文档，请参见： * [实验室设置](Documentation/Lab_Setup.md) * [检测场景](Documentation/Detection_Scenarios.md) * [威胁狩猎活动](Documentation/Threat_Hunting.md) * [经验教训](Documentation/Lessons_Learned.md) ## 未来改进 该家庭实验室未来的改进包括： * 使用 Metasploitable 和其他易受攻击的系统扩展攻击模拟。 * 为安全监控创建自定义的 Wazuh 仪表板和可视化。 * 集成额外的安全工具和日志源。 * 为特定的攻击技术开发自定义检测规则。 * 自动化攻击模拟和检测验证工作流。 * 使用更大的数据集和更高级的攻击场景扩展威胁狩猎活动。 这些增强功能将进一步提高检测覆盖率、可见性以及实际的 SOC 分析能力。

标签：AI合规, CTI, Sysmon, Wazuh, 实验环境