fergim92/Mini-SOC-casero-con-Wazuh

# 自制 Mini-SOC 与 Wazuh 用于使用 Wazuh 练习监控、关联和警报分类的防御性实验室。该仓库包含本地规则、decoders、合成事件以及一级响应 runbooks。 ## 目标 - 监控 Linux 端点和服务日志。 - 检测 SSH 暴力破解、失败后的成功登录以及 Web 探测。 - 记录分类、初步遏制和升级流程。 - 维护版本化并通过 CI 验证的规则。 ## 内容 - `wazuh/rules/local_rules.xml`：实验室本地规则。 - `wazuh/decoders/local_decoder.xml`：用于合成 Web 日志的简单 decoder。 - `wazuh/config/ossec-localfile.conf`：用于数据提取的 `localfile` 示例。 - `scripts/generate-lab-events.sh`：生成良性事件以测试警报。 - `scripts/validate_rules.py`：验证 XML、ID 以及最小的规则 metadata。 - `runbooks/`：SOC L1 流程。 - `evidence/sample-alerts.json`：脱敏后的示例警报。 ## 简要启动指南 1. 将规则和 decoders 复制到 manager： ``` sudo cp wazuh/rules/local_rules.xml /var/ossec/etc/rules/local_rules.xml sudo cp wazuh/decoders/local_decoder.xml /var/ossec/etc/decoders/local_decoder.xml sudo systemctl restart wazuh-manager ``` 2. 将 `wazuh/config/ossec-localfile.conf` 中的代码块添加到 `ossec.conf`。 3. 在测试端点上执行 `scripts/generate-lab-events.sh`，或根据需要调整路径。 4. 在 Wazuh Dashboard 或通过 API 验证警报。 5. 按照 `runbooks/` 中的 runbooks 进行分类和遏制。 ## 本地验证 ``` python scripts/validate_rules.py python -m unittest discover -s tests ``` ## 范围 该实验室使用合成数据和安全的命令。它不包含任何凭据、CTF flag 或第三方信息。

标签：Wazuh, 安全实验环境, 安全运营, 应用安全, 扫描框架, 逆向工具