AshwinL1598/Wazuh-homelab

**项目名称：Wazuh 安全运营实验室** **概述** 一个自建的 Security Operations Center (SOC) 实验室环境，旨在使用 Wazuh SIEM 练习事件检测、日志分析和端点监控。 **实验室架构** *核心设置步骤* **环境配置：** #设置两个虚拟机（用于 Manager 的 Ubuntu 22.04 LTS，以及用于 Endpoint 的 Windows 11 Enterprise）。 #将网络适配器配置为桥接模式（Bridged Mode），以确保两台虚拟机与宿主机处于同一子网。 **Wazuh Manager 安装：** #下载 Wazuh 安装脚本：**curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh。** #生成配置文件：**sudo bash ./wazuh-install.sh -g。** **关键步骤：** 编辑 config.yml 以指定 Ubuntu 虚拟机的静态本地 IP (192.168.x.x)。这可以防止证书不匹配。 #执行完整部署：sudo bash ./wazuh-install.sh -a。 **Agent 部署：** #通过 https:// 访问 Wazuh Dashboard。 #导航至 Agents Management > Deploy new agent。 #选择 Windows 并输入 Manager 的 IP 地址。 **Agent 注册：** #在 Windows 虚拟机上以管理员身份运行生成的 PowerShell 命令来安装 Agent。 #在 Ubuntu 宿主机上使用 manage_agents 工具，为特定的 agent ID 提取认证密钥（E 选项）。 #将密钥导入 Windows 端点的 Wazuh Agent 管理器 UI 中，以完成“Active”握手。 **验证：** #在 Wazuh Dashboard 的 Agents 标签页下验证连通性。 #通过在 Windows 端点上触发 Event ID 4625（Failed Logon）并在 Threat Hunting 模块中验证检测结果，来测试告警摄取。

标签：AI合规, BurpSuite集成, Wazuh, 安全运营中心, 实验室环境, 终端监控, 网络映射