adebisidammyy-sketch/Ka-siem-brute-force-detection-lab

# Ka SIEM 暴力破解检测实验室 ## 概述 本实验室通过部署 Wazuh SIEM、创建自定义的 AI 生成的检测规则，并模拟暴力破解攻击以验证检测能力，展示了真实的 SOC 分析师技能。 ## 使用的工具 - Wazuh SIEM (Docker 部署) - Hydra (暴力破解模拟) - Kali Linux - MITRE ATT&CK Framework ## 我所做的工作 1. 在 Kali Linux 上使用 Docker 部署了 Wazuh SIEM 2. 配置了系统内存限制以确保稳定运行 3. 在 Kali Linux 终端上部署了 Wazuh agent 4. 使用 AI 生成了自定义的 XML 暴力破解检测规则 5. 规则在同一 IP 于 60 秒内发生 5 次 SSH 登录失败后，触发 Level 10 Critical 告警 6. 使用 Hydra 字典模拟了暴力破解攻击 7. 在 Wazuh dashboard 上监控了实时告警 8. 分析了 MITRE ATT&CK T1110.001 技术检测 ## 创建的检测规则 - Rule ID: 100001 - Level: 10 (Critical) - 触发条件：60 秒内 5 次 SSH 登录失败 - MITRE Technique: T1110.001 (Brute Force: Password Guessing) ## 结果 - 检测到 21 次身份验证失败 - 共产生 120 个安全事件 - 识别出 MITRE ATT&CK Credential Access 战术 - 威胁狩猎 dashboard 已填充攻击时间线 ## 截图 请查看 screenshots 文件夹以获取以下内容的证据： - Agent 部署及活跃状态 - local_rules.xml 中的自定义规则 - Hydra 暴力破解攻击执行情况 - Wazuh 威胁狩猎 dashboard 告警 - MITRE ATT&CK 事件映射 ## 背景 本实验室作为 NGiT Cohort 2 网络安全培训项目以及 Google Cybersecurity Certificate 的一部分完成。 ## 作者 Damilola Adebisi | SOC Analyst

标签：Docker, Wazuh, 安全运营中心, 安全防御评估, 网络安全, 网络映射, 请求拦截, 隐私保护