Zaman0/wazuh-soc-lab

GitHub: Zaman0/wazuh-soc-lab

基于 Wazuh SIEM 搭建的 SOC 家庭实验室，通过模拟 LOLBin 滥用与凭据转储等真实攻击技术编写自定义检测规则并生成 MITRE ATT&CK 映射的事件报告。

Stars: 0 | Forks: 0

# 🛡️ Wazuh SOC 家庭实验室 — 检测工程作品集 ![SIEM](https://img.shields.io/badge/SIEM-Wazuh-blue?style=flat-square) ![OS](https://img.shields.io/badge/Server-Ubuntu_Linux-orange?style=flat-square) ![Agent](https://img.shields.io/badge/Agent-Windows_11-0078D4?style=flat-square&logo=windows) ![MITRE](https://img.shields.io/badge/Framework-MITRE_ATT%26CK-red?style=flat-square) ![Status](https://img.shields.io/badge/Status-Active_Lab-brightgreen?style=flat-square) 一个实操性的 SOC 分析师家庭实验室，旨在模拟真实世界的攻击技术，编写自定义 Wazuh 检测规则，并生成结构化的事件报告。每个场景都遵循完整的 SOC 工作流：**攻击模拟 → 检测 → 告警分诊 → 事件记录**。 ## 🧪 实验环境 | 组件 | 详情 | |---|---| | **SIEM 平台** | Wazuh (自托管，开源) | | **Wazuh Server** | Ubuntu Linux (虚拟机) | | **受监控的 Endpoint** | Windows 11 (虚拟机) — 已注册 Wazuh agent | | **虚拟化** | VMware / VirtualBox | | **检测方法** | 自定义 Wazuh XML 规则 + Windows Event Log 监控 | | **框架** | MITRE ATT&CK | ## 📁 仓库结构 ``` wazuh-soc-lab/ │ ├── README.md ← This file (project overview) │ ├── scenario-01-cipher/ │ ├── INCIDENT_REPORT.md ← IR: cipher.exe LOLBin detection │ └── rules/ │ └── cipher_exe_detection.xml ← Wazuh custom rule │ ├── scenario-02-credential-dump/ │ ├── KILL_CHAIN.md ← Full attack kill chain walkthrough │ ├── INCIDENT_REPORT.md ← IR: Mimikatz-style credential dump │ └── rules/ │ ├── lsass_access_detection.xml ← Rule: LSASS memory access │ ├── mimikatz_keywords_detection.xml ← Rule: Mimikatz CLI signatures │ └── suspicious_powershell_detection.xml← Rule: Encoded PowerShell │ └── shared/ └── MITRE_COVERAGE.md ← Combined ATT&CK technique index ``` ## 🗂️ 场景 | # | 场景 | 技术 | 严重程度 | 状态 | |---|---|---|---|---| | 01 | [cipher.exe LOLBin 执行](./scenario-01-cipher/INCIDENT_REPORT.md) | T1486, T1070 | 中危 | ✅ 完成 | | 02 | [凭据转储 — Mimikatz Kill Chain](./scenario-02-credential-dump/INCIDENT_REPORT.md) | T1003, T1059, T1078, T1547 | 严重 | ✅ 完成 | ## 🎯 展示技能 - 自定义 Wazuh 检测规则编写 (XML) - Windows Event Log 分析 (Event IDs 4688, 4624, 4656, 10) - MITRE ATT&CK 技术映射 - 完整的 kill chain 分析 (7阶段) - SOC 标准的事件报告撰写 - LOLBin 和基于凭据的攻击检测 - Living Off the Land (LOTL) 攻击意识 ## 📋 简历总结 *作为主动的 SOC L1 分析师培训和 CompTIA Security+ 备考的一部分而构建。*

标签：Wazuh, 安全实验室, 安全运营, 扫描框架, 知识库安全