RonitPatel24/Building-A-SOC-LAB-WITH-WAZUH-AND-KALI-2

# 使用 Wazuh 和 Kali 构建 SOC 实验室-2 使用 Wazuh SIEM 进行威胁检测和事件响应的 SOC 分析师模拟实战项目 SOC 分析师模拟实验室 展示安全运营中心 (SOC) 能力的实战网络安全项目，使用 Wazuh SIEM、威胁模拟和事件响应。 🎯 项目概述 安全运营中心 (SOC) 模拟 | VMware, Kali Linux, Ubuntu, Windows Server, Wazuh SIEM 使用 VMware 构建虚拟化 SOC 环境，包含 Kali Linux（攻击者）、Ubuntu 目标机、Windows Server 2025 和 Wazuh SIEM，用于模拟和检测真实的安全威胁 部署 Wazuh SIEM，通过基于 agent 的架构对多个 endpoint 进行实时日志分析和安全事件监控 使用 Hydra 从 Kali Linux 对 Ubuntu 目标机模拟 SSH 暴力破解攻击，生成 400+ 个由 Wazuh 检测到的认证失败事件 在 Windows Server 2025 上实施文件完整性监控 (FIM)，以实时检测未经授权的文件修改 在 Wazuh dashboard 中分析安全事件，并将 SSH 暴力破解攻击映射到 MITRE ATT&CK 框架（T1110 Brute Force）以进行事件记录 此仓库包含两个 SOC 分析师实战项目，展示： SIEM 部署与配置 实时威胁检测与分析 文件完整性监控 (FIM) SSH 暴力破解攻击模拟 MITRE ATT&CK 框架映射 🛠️ 技术栈 SIEM: Wazuh 4.7 虚拟化: VMware Workstation 操作系统: Ubuntu Server 24.04, Windows Server 2025, Kali Linux 2025 攻击工具: Hydra, Nmap, 自定义脚本 框架: MITRE ATT&CK 📁 项目 项目 1：文件完整性监控 (FIM) 目标：实施实时文件完整性监控，以检测关键系统目录中未经授权的文件修改。 关键成就： 配置 Wazuh FIM 以监控 /etc、/bin、/sbin 和 /usr/bin 目录 实时检测未经授权的文件创建、修改和删除 生成带有文件哈希验证（MD5, SHA1, SHA256）的告警 分析告警模式以识别可疑活动 在 Windows 和 Linux 系统上实施监控 技术实现： 在 Wazuh agent 中配置 `` 以进行实时监控 为关键系统文件设置自定义告警规则 启用 Windows 注册表监控以进行权限维持检测 每 6 小时实施一次计划完整性扫描 检测场景： /etc 目录中未经授权的文件创建 规则级别：7 告警：“在监控目录中检测到新文件” 关键系统文件的修改 规则级别：8-10（取决于文件的关键程度） 告警：“文件已修改 - 完整性校验和已更改” 对受保护文件的删除尝试 规则级别：9 告警：“文件已从监控目录中删除” 展示的技能： FIM 配置与调优 日志分析与关联 异常检测 系统基线创建 告警分类与调查 项目 2：威胁检测与事件响应 目标：部署虚拟化 SOC 环境，使用 Wazuh SIEM 模拟并检测真实网络攻击。 架构： ┌─────────────────┐ │ Kali Linux │ (攻击者 - 无 Wazuh Agent) │ Attack Tools │ └────────┬────────┘ │ [攻击流量] │ ┌────┴────────────────┐ │ │ ▼ ▼ ┌─────────────────┐ ┌──────────────────┐ │ Ubuntu Target │ │ Windows Server │ │ + Wazuh Agent │ │ + Wazuh Agent │ │ SSH Enabled │ │ RDP Enabled │ └────────┬────────┘ └─────────┬────────┘ │ │ └──────[发送日志]────┘ │ ▼ ┌──────────────────┐ │ Wazuh Manager │ │ Ubuntu Server │ │ + Dashboard │ └──────────────────┘ 模拟的攻击场景： SSH 暴力破解攻击 工具：Hydra 命令：hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://target -t 8 检测：在 Wazuh 中检测到多次身份验证失败 MITRE：T1110 (Brute Force) 检测能力： 实时身份验证失败检测 通过 Wazuh dashboard 进行安全事件监控 MITRE ATT&CK 技术映射 (T1110) 从 Ubuntu 目标机进行基于 agent 的日志收集 关键结果： 生成事件总数：400+ 高严重性告警（级别 10+）：15+ 检测率：模拟攻击的 100% 平均检测时间 (MTTD)：<30 秒 误报率：0%（在规则调优后） 告警示例： 规则 ID规则级别描述MITRE ATT&CK57105sshd: 尝试使用不存在的用户登录T1087572010sshd: 多次身份验证失败T111057608sshd: SSH 服务器可能遭到攻击T1110601225-10Windows 登录失败（事件 ID 4625）T1110 展示的技能： SIEM 部署与配置 多平台 agent 管理 (Ubuntu, Windows) SSH 暴力破解攻击模拟 通过 Wazuh dashboard 进行安全事件分析 文件完整性监控实施 日志聚合与关联 MITRE ATT&CK 框架映射 🎓 展示的技能 技术技能： SIEM 部署与 agent 配置 通过 dashboard 进行安全事件分析 日志聚合与监控 文件完整性监控 攻击模拟（SSH 暴力破解） 多平台安全运营 (Windows, Linux) 安全框架： MITRE ATT&CK 框架 NIST 网络安全框架 Cyber Kill Chain 工具与技术： SIEM：Wazuh Manager, Wazuh Agents, Wazuh Dashboard 攻击工具：Hydra (SSH 暴力破解) 虚拟化：VMware Workstation 操作系统：Ubuntu Server 24.04, Windows Server 2025, Kali Linux 2025 日志分析：身份验证日志，Wazuh dashboard 📊 结果与影响 项目成果 文件完整性监控： 在 Windows Server 2025 上配置了 FIM 监控关键系统目录的未经授权更改 成功实时检测到文件修改 威胁检测： 通过 SSH 暴力破解模拟生成 400+ 个安全事件 跨多个平台 (Ubuntu, Windows) 部署 Wazuh SIEM 在 Wazuh dashboard 中分析身份验证失败事件 将 SSH 暴力破解攻击映射到 MITRE ATT&CK 框架 (T1110) 为安全培训创建了可复现的实验环境 专业发展 获得了企业级 SIEM 平台的实战经验 培养了日志分析和威胁关联的专业能力 积累了关于攻击技术和检测方法的实用知识 创建了展示 SOC 分析师能力的作品集 🚀 如何复现 前置条件 硬件要求： 16GB 内存（最低）- 推荐 20GB 100GB 可用磁盘空间 多核 CPU（推荐 4+ 核） 软件要求： VMware Workstation 或 VirtualBox Ubuntu Server 24.04 ISO Windows Server 2025 ISO（用于 Windows 目标机） Kali Linux 2025 ISO 知识要求： 基础 Linux 命令行 网络基础知识（IP 寻址、端口） 对身份验证系统的基本了解 快速入门指南 步骤 1：部署 Wazuh Manager bash# 在 Ubuntu Server 虚拟机上 curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash ./wazuh-install.sh -a # 访问 dashboard：https://MANAGER_IP # 安装后提供默认凭据 步骤 2：部署目标 Agent Ubuntu 目标机： bash# 安装 SSH sudo apt install openssh-server -y # 安装 Wazuh Agent sudo WAZUH_MANAGER="MANAGER_IP" apt-get install wazuh-agent sudo systemctl start wazuh-agent Windows 目标机： powershell# 下载并安装 Wazuh agent Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.7.2-1.msi -OutFile wazuh-agent.msi msiexec.exe /i wazuh-agent.msi /q WAZUH_MANAGER="MANAGER_IP" WAZUH_AGENT_NAME="WINDOWS2025" NET START WazuhSvc 步骤 3：配置文件完整性监控 编辑 agent 配置（Linux 上为 /var/ossec/etc/ossec.conf）： xml /etc /bin /sbin 步骤 4：从 Kali 发起攻击 bash# SSH 暴力破解 hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://TARGET_IP -t 8 -vV # 端口扫描 nmap -sS -sV -A TARGET_IP # 用户枚举 echo -e "admin\nroot\ntest" > users.txt hydra -L users.txt -p test ssh://TARGET_IP -t 4 步骤 5：监控与分析 访问 Wazuh Dashboard：https://MANAGER_IP 导航到 Threat Hunting 按规则级别过滤：rule.level:>=5 查看 MITRE ATT&CK 映射 详细设置文档 每个项目文件夹包含： 逐步设置说明 配置文件示例 带有解释的攻击脚本 预期的检测结果 常见问题的故障排除指南 🛠️ 配置示例 针对 SSH 暴力破解的自定义检测规则 在 Wazuh Manager 上创建 /var/ossec/etc/rules/local_rules.xml： xml 5720 authentication failure 10 120 可能发生 SSH 暴力破解攻击（2 分钟内失败 10 次以上） T1110 针对 Windows 注册表的 FIM 配置 Windows agent 配置： xml HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 📸 项目截图 威胁检测 Dashboard 显示实时安全事件，检测到 411 个安全事件，包括 SSH 身份验证失败、用户枚举尝试和暴力破解攻击。规则级别范围为 5-10，表示中等到严重级别。 文件完整性监控告警 显示带有哈希验证的实时文件修改告警，展示对 /etc 和 /bin 目录中关键系统文件的未经授权的更改。 MITRE ATT&CK 映射 可视化检测到的攻击技术映射到 MITRE ATT&CK 框架，展示了对 T1110 (Brute Force)、T1087 (Account Discovery) 和 T1046 (Network Service Scanning) 的覆盖。 来自 Kali 的攻击模拟 显示 Hydra 暴力破解攻击正在进行的终端输出，包含多次身份验证尝试以及 Wazuh 的实时检测。 🐛 故障排除指南 常见问题 1. Agent 在 Dashboard 中显示“已断开连接” 原因：防火墙阻止了 agent 和 manager 之间的通信 解决方案： bash# 在 Wazuh Manager 上 sudo ufw allow 1514/tcp sudo ufw allow 1515/tcp sudo ufw reload sudo systemctl restart wazuh-manager # 在 Agent 上 sudo systemctl restart wazuh-agent 2. 攻击未产生告警 原因：目标系统上未启用审计日志记录 Ubuntu 的解决方案： bash# SSH 会自动记录日志，请验证 sshd 是否正在运行 sudo systemctl status ssh Windows 的解决方案： powershell# 启用身份验证事件的审计日志记录 auditpol /set /subcategory:"Logon" /failure:enable auditpol /set /subcategory:"Logoff" /failure:enable Restart-Service WazuhSvc 3. FIM 未检测到文件更改 原因：未启用实时监控或未配置目录 解决方案： bash# 编辑 /var/ossec/etc/ossec.conf /path/to/monitor # 重启 agent sudo systemctl restart wazuh-agent 4. 高误报率 原因：默认规则对于环境过于敏感 解决方案：创建具有调整阈值的自定义规则，对已知良好的活动实施白名单 5. 运行多个虚拟机时的性能问题 解决方案： 减少虚拟机内存分配（Wazuh Manager：3GB，目标机：每个 2GB） 使用 Ubuntu Server 而不是 Desktop（更轻量） 仅同时运行必要的虚拟机 暂停当前未使用的虚拟机 📝 未来增强计划 计划功能 集成更多攻击向量（Web 应用程序攻击、网络钓鱼模拟） 使用 Wazuh 主动响应实现自动化事件响应剧本 针对恶意软件行为的自定义检测规则 与威胁情报源 (MISP, AlienVault OTX) 集成 Windows活动目录攻击模拟 容器安全监控 (Docker, Kubernetes) 云安全监控 (AWS CloudTrail 集成) 自动化报告和 dashboard 创建 基于机器学习的异常检测 学习目标 高级关联规则开发 取证和证据收集程序 恶意软件分析和沙盒集成 紫队演练（红蓝队联合） 合规监控 (PCI DSS, HIPAA, SOC 2) 📚 资源与参考 官方文档 Wazuh 文档 MITRE ATT&CK 框架 Kali Linux 工具 学习资源 Wazuh SIEM 配置指南 NIST 网络安全框架 SANS SOC 分析师培训材料 蓝队手册 相关项目 Splunk SIEM 替代方案 ELK Stack 安全监控 Security Onion 网络安全监控 🤝 贡献 这是一个个人学习项目，但欢迎提供反馈和建议！如果您发现问题或有改进建议： 创建一个描述问题或建议的 issue 随时 fork 并尝试您自己的变体 分享您的结果和经验 ⚖️ 法律与道德免责声明 重要提示：本项目仅供教育目的。 所有攻击均在隔离的虚拟实验室环境中进行 请勿在您不拥有或未获得明确测试许可的系统上使用这些技术 根据 CFAA 和类似法律，未经授权访问计算机系统是非法的 在进行安全测试之前，务必获得书面许可 分享此文档是为了展示 SOC 分析师的技能，而不是为了促成恶意活动 负责任的披露：所展示的所有技术均为人所熟知，并作为防御性安全目的进行记录。 📧 联系方式 Ronit 网络安全学生 | 加州州立大学富勒顿分校 预计毕业时间：2026 年 5 月 专注领域：SOC 运营、SIEM 分析、事件响应、威胁狩猎 LinkedIn：[您的 LinkedIn] 电子邮件：[您的电子邮件] 作品集：[您的作品集网站] 🏆 认证与技能 相关课程： 网络安全基础 网络安全 操作系统安全 事件响应 技术技能： SIEM 平台：Wazuh, Splunk（学习中） 操作系统：Linux (Ubuntu, Kali), Windows Server 安全工具：Nmap, Hydra, Wireshark, Metasploit 脚本编写：Bash, PowerShell 虚拟化：VMware Workstation 框架：MITRE ATT&CK, NIST CSF 📄 许可证 本项目基于 MIT 许可证授权 - 有关详细信息，请参阅 LICENSE 文件。 教育用途：可免费用于学习和作品集目的，但需注明出处。 最后更新：2026 年 2 月 带着对学习网络安全和保护数字资产的专注而构建。

标签：AMSI绕过, CTI, Wazuh, x64dbg, 威胁检测, 安全运营, 库, 应急响应, 扫描框架, 靶场环境