Ajay-kannaa/Home-SOC-Lab-Wazuh

# 家庭 SOC 实验室 — Wazuh SIEM 检测与事件响应 ## 概述 本项目是一个基于 Wazuh SIEM 搭建的家庭安全运营中心 (SOC) 实验室，用于模拟真实环境下的攻击检测、监控与事件响应。 主要关注暴力破解检测、日志关联、威胁映射，以及与 MITRE ATT&CK 框架保持一致的事件调查。 ## 🏗️ 架构 - Windows endpoint + Sysmon - Linux endpoint - Wazuh Manager (SIEM) - 日志采集与关联引擎 （在 /architecture 文件夹中添加架构图） ## 🚨 构建的检测规则 - 暴力破解攻击检测 - 提权监控 - 可疑进程执行 - 身份验证失败激增 ## 检测逻辑示例 使用以下条件检测暴力破解攻击： - 失败登录尝试激增 - 同一用户被重复针对 - 基于时间的关联窗口 映射至 MITRE ATT&CK： - T1110 — Brute Force ## 事件响应示例 包含： - 完整的事件时间线 - 攻击行为分析 - 阻断措施 - 根因分析 - 经验教训 文件：`/incident_reports/brute_force_incident_report.md` ## 🛠️ 使用的工具 - Wazuh SIEM - Sysmon - Windows Event Logs - Linux audit logs - MITRE ATT&CK - Splunk (作为参考) - Python (用于日志分析) ## 📌 展示的核心技能 - SIEM 调优 - 检测工程 - 威胁狩猎 - 日志分析 - 事件响应 - MITRE ATT&CK 映射

标签：Sysmon, Wazuh, 安全运营中心(SOC), 库, 应急响应, 管理员页面发现, 红队行动, 逆向工具