boss-cell/wazuh-siem-lab

# 构建用于安全监控的初级 SOC 家庭实验室 ## 项目概述 本项目展示了一个初学者网络安全家庭实验室，使用了 VMware Workstation Player、Windows、Ubuntu、Kali Linux、Sysmon、Event Viewer 和 Wireshark。 该项目的目标是通过在安全的虚拟实验室环境中收集端点日志和捕获网络流量，来了解基本的安全监控是如何运作的。 ## 实验室架构 - Windows-Endpoint：受监控的端点机器 - Ubuntu-Server：Apache Web 服务器 - Kali-Linux：测试/客户端机器 - 网络：VMware NAT 网络 ## 使用的工具 - VMware Workstation Player - Windows 10/11 - Ubuntu - Kali Linux - Sysmon - Windows Event Viewer - Wireshark - Apache2 ## 执行的活动 1. 安装了三台虚拟机 2. 将虚拟机连接到同一个 VMware 网络 3. 使用 ping 测试了连通性 4. 在 Windows 上安装了 Sysmon 5. 检查了 Sysmon 进程创建日志 6. 检查了 Windows 安全登录日志 7. 识别了事件 ID 4624 成功登录 8. 识别了事件 ID 4625 失败登录 9. 使用 Wireshark 捕获了 ICMP 流量 10. 在 Ubuntu 上安装了 Apache Web 服务器 11. 使用 Wireshark 捕获了 HTTP 流量 ## 主要发现 - Sysmon 事件 ID 1 显示进程创建活动。 - Windows 安全事件 ID 4624 显示成功登录活动。 - Windows 安全事件 ID 4625 显示失败登录活动。 - Wireshark 可以捕获虚拟机之间的 ICMP ping 流量。 - Wireshark 可以捕获 Kali Linux 和 Ubuntu Apache 服务器之间的 HTTP 流量。 ## 展示的技能 - 虚拟机设置 - 基础网络 - Windows 日志分析 - Sysmon 监控 - Event Viewer 分析 - Wireshark 数据包捕获 - ICMP 流量分析 - HTTP 流量分析 - 安全文档编写 ## 结论 这个项目帮助我了解了网络安全监控的基础知识。它为未来涉及 SIEM 工具、漏洞扫描、钓鱼调查和事件响应的项目奠定了基础。

标签：安全实验环境, 端点监控, 网络流量分析