aj-osei/Wazuh-SIEM-Detection-Lab
GitHub: aj-osei/Wazuh-SIEM-Detection-Lab
一个基于 Wazuh 的 SIEM 动手实验项目,指导如何在 Windows 和 Linux 端点上部署监控并检测认证类安全事件。
Stars: 0 | Forks: 0
# Wazuh SIEM 检测实验
## 目标
本实验的目标是搭建一个可实际操作的 Wazuh SIEM 环境,并练习基础的 SOC 风格检测。我将 Windows 和 Linux 端点都连接到 Wazuh,生成了失败的认证活动,并在 Wazuh dashboard 中查看了告警。
本实验帮助我练习了日志收集、端点监控、Windows Event ID 分析、Linux SSH 日志分析以及告警调查。
### 掌握的技能
- SIEM 部署与基础配置
- Windows 端点监控
- Linux 端点监控
- Windows Event ID 4625 分析
- SSH 认证失败检测
- 日志接入与告警审查
- 基础 SOC 风格调查工作流
- 使用 Wazuh Threat Hunting 搜索安全事件
### 使用的工具
- Wazuh SIEM
- Wazuh OVA Server
- VirtualBox
- Windows 11 端点
- Ubuntu Server 端点
- PowerShell
- SSH
- Windows Event Logs
- Linux Authentication Logs
## 实验环境
| 系统 | 用途 | 详情 |
|------|---------|---------|
| Wazuh Server | SIEM 服务器 | 托管在 VirtualBox 中 |
| Windows 端点 | Windows 日志源 | 连接为 Wazuh agent 的 Windows 11 系统 |
| Linux 端点 | Linux 日志源 | 连接为 Wazuh agent 的 Ubuntu Server |
## 步骤
### 1. 访问 Wazuh OVA Server
我在 VirtualBox 中安装并启动了 Wazuh OVA 服务器。登录后,我使用终端获取了管理员/root 权限,并确定了 Wazuh 服务器的 IP 地址。
```
sudo bash
ip addr
```
随后使用该 Wazuh 服务器 IP 地址从浏览器访问 Wazuh dashboard。
### 2. 登录 Wazuh Dashboard
我使用 Wazuh 服务器的 IP 地址从浏览器访问了 Wazuh dashboard。
```
https://
```
在那里,我确认 dashboard 运行正常,并准备将端点添加为 Wazuh agent。
### 3. 添加 Windows 端点
我将我的 Windows 11 系统添加为 Wazuh agent。
完成的步骤:
1. 打开 Wazuh dashboard。
2. 进入 **Agents Management**。
3. 选择 **Deploy new agent**。
4. 选择 Windows 作为操作系统。
5. 输入 Wazuh 服务器 IP 地址。
6. 复制生成的 agent 安装命令。
7. 以管理员身份打开 PowerShell。
8. 运行 Wazuh agent 安装命令。
9. 启动 Wazuh agent 服务。
10. 确认 Windows 端点在 Wazuh 中显示为活动状态。
### 4. 检测 Windows 登录失败尝试
为了测试 Windows 认证监控,我在 Windows 端点上生成了登录失败尝试。
完成的步骤:
1. 锁定 Windows 系统。
2. 多次输入错误密码。
3. 正常重新登录。
4. 打开 Wazuh dashboard。
5. 进入 **Threat Hunting**。
6. 搜索:
```
4625
```
Windows Event ID **4625** 表示一次登录失败尝试。
Wazuh 为登录失败活动生成了告警,表明 Windows 认证日志正在被正确收集和分析。
告警详情示例:
```
Rule Description: Logon Failure - Unknown user or bad password
Rule ID: 60122
Rule Level: 5
```
### 5. 添加 Linux 端点
我将一个 Ubuntu Server 系统添加为 Wazuh agent。
完成的步骤:
1. 安装 Ubuntu Server。
2. 确认网络连接。
3. 确认 Linux 系统可以连接到 Wazuh 服务器。
4. 在 Wazuh 中打开 **Agents Management**。
5. 选择 **Deploy new agent**。
6. 选择 Linux 并选择了正确的 Ubuntu 软件包。
7. 输入 Wazuh 服务器 IP 地址。
8. 使用生成的命令安装 Wazuh agent。
9. 启动并启用 Wazuh agent 服务。
10. 确认 Linux 端点在 Wazuh 中显示为活动状态。
### 6. 检测 Linux SSH 认证失败
为了测试 Linux 认证监控,我生成了 SSH 登录失败尝试。
```
ssh wronguser@localhost
```
这试图使用不存在的用户 SSH 登录到 Ubuntu 机器。在多次输入错误密码后,Wazuh 在 Threat Hunting 中生成了告警。
告警详情示例:
```
Rule Description: sshd: Attempt to login using a non-existent user
Rule ID: 5710
Rule Level: 5
```
Wazuh 还针对多次输错密码生成了更高级别的告警:
```
Rule Description: syslog: User missed the password more than one time
Rule ID: 2502
Rule Level: 10
```
### 7. 实验总结
在本实验中,我成功搭建了 Wazuh SIEM 环境,并连接了 Windows 和 Linux 端点。我在两个系统上都生成了登录失败活动,并确认 Wazuh 正在接入日志、创建告警,使我能够通过 Threat Hunting 调查事件。
本项目帮助我积累了关于 SIEM 监控、端点可见性、认证失败检测以及 SOC 风格告警审查的实践经验。
## 截图
示例:
*Ref 1:Wazuh dashboard 显示 Windows 端点已作为活动 agent 连接。*
Ref 2:Wazuh Threat Hunting 显示测试期间生成的 Windows Event ID 4625 登录失败尝试。
Ref 2:Wazuh Threat Hunting 显示测试期间生成的 Windows Event ID 4625 登录失败尝试。
标签:AI合规, AMSI绕过, Wazuh, 内存分配, 威胁检测, 安全运营, 扫描框架