ivanfocsa/wazuh-siem-lab

 # Wazuh SIEM 实验环境 [](#) [](#) [](#) [](#) 本项目是一个围绕 Wazuh 构建的小型 SOC 实验环境：部署一个本地 stack，集中管理事件，添加本地检测规则并重放样本日志以生成证据。 其目标不是部署一个生产环境的 SIEM，而是展示其方法论：收集、规范化、检测、审查和记录。 ## 本项目展示的内容 - 使用官方 Wazuh Docker 仓库进行 Wazuh 单节点实验环境的引导部署。 - 针对 Linux 身份验证和 Windows Sysmon 风格遥测的自定义本地规则。 - 用于检测测试的可重复样本日志重放。 - 一种可在 SOC 交接中复用的检测笔记格式。 - 实验环境配置与运行时文件之间的清晰分离。 ## 流程 ``` Sample logs / lab agents | v Wazuh Manager ---> Wazuh Indexer ---> Wazuh Dashboard | v Local rules and detection notes ``` ## 仓库结构 ``` . |-- config/ | |-- rules/local_rules.xml | `-- wazuh/ossec.conf.fragment.xml |-- detections/ | `-- README.md |-- docs/ | |-- deployment.md | `-- triage-playbook.md |-- samples/ | |-- linux-auth.log | `-- windows-sysmon.jsonl `-- scripts/ |-- Bootstrap-WazuhLab.ps1 `-- Replay-SampleLogs.ps1 ``` ## 引导启动 ``` Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force ./scripts/Bootstrap-WazuhLab.ps1 -Version v4.12.0 ``` 该脚本会将官方 `wazuh/wazuh-docker` 仓库克隆到 `.runtime/` 中，然后将本地规则复制到单节点实验环境的文件夹中。 ## 重放样本日志 ``` Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force ./scripts/Replay-SampleLogs.ps1 -TargetHost 127.0.0.1 -TargetPort 1514 ``` 这会将样本事件通过 UDP 发送到 Wazuh manager 的 syslog 监听器。 ## 参考资料 - Wazuh Docker 部署：https://documentation.wazuh.com/current/deployment-options/docker/wazuh-container.html - Wazuh Docker 仓库：https://github.com/wazuh/wazuh-docker - Wazuh 安装指南：https://documentation.wazuh.com/current/installation-guide/index.html ## 安全提示 请在本地测试机器或一次性 VM 上运行此实验环境。在审查留存策略、隐私、TLS 和访问控制之前，请勿将其指向生产环境日志。

标签：AI合规, Docker, IPv6, Libemu, PB级数据处理, PowerShell, Wazuh, 安全实验室, 安全运维, 安全防御评估, 请求拦截