jordanhunt4/wazuh-siem-lab

# Wazuh SIEM 家庭实验室 这是一个使用 Wazuh 构建的家庭实验室，旨在模拟真实环境的安全监控，部署在 Ubuntu Server 上并连接了一个 Windows 11 终端。该实验室是向网络安全领域积极转型的一部分。 ## 概述 该项目展示了如何从零开始部署 SIEM（安全信息和事件管理）系统，包括代理注册、通过 Sysmon 收集终端遥测数据，以及编写映射到 MITRE ATT&CK 的自定义检测规则。 ## 使用工具 - Wazuh 4.7（Manager、Indexer、Dashboard） - Ubuntu Server 22.04 LTS - Windows 11 Enterprise（评估版） - Sysmon（使用 SwiftOnSecurity 配置） - VirtualBox ## 架构 宿主机（Windows）运行两个虚拟机： - Ubuntu Server — Wazuh Manager + Indexer + Dashboard - Windows 11 — Wazuh Agent + Sysmon 虚拟机通过 VirtualBox Host-Only 网段进行通信，与外部互联网隔离。 ## 检测规则 | 规则 ID | 描述 | MITRE ATT&CK | |---|---|---| | 100002 | 暴力破解 — 2 分钟内 5 次以上失败登录 | T1110 | | 100003 | 新用户被添加到 Administrators 组 | T1136 | | 100004 | 到可疑端口（4444、1337、8888）的出站连接 | T1071 | ## 分析文章 - [暴力破解检测](writeups/01-brute-force.md) - [新管理员账户](writeups/02-new-admin-account.md) - [可疑端口检测](writeups/03-suspicious-port.md) ## 结果 在测试期间，所有三个规则均成功触发并在 Wazuh dashboard 中生成了告警。Sysmon 提供了进程级和网络级的遥测数据，丰富了告警数据，使其超越了默认的 Windows Event Logs。

标签：IP 地址批量处理, Sysmon, Wazuh, 安全实验室, 红队行动