dmtaylorjr/Wazuh-SIEM

GitHub: dmtaylorjr/Wazuh-SIEM

该项目在家庭实验室环境中部署 Wazuh SIEM 平台,实现端点日志采集、自定义威胁检测规则和 SOC 可视化仪表盘,用于展示安全运营分析实战能力。

Stars: 0 | Forks: 0

# Wazuh SIEM 家庭实验室 — 威胁检测与日志监控 **类型:** 家庭实验室项目 **目标角色:** SOC Analyst,Cybersecurity **工具:** Wazuh 4.7、VMware Workstation Pro、Ubuntu Server 22.04、Windows 10、Sysmon (SwiftOnSecurity config) **状态:** 已完成 ## 项目概述 该项目涉及在家庭实验室环境中使用 Wazuh 部署一个功能齐全的安全信息和事件管理 (SIEM) 系统。目标是模拟真实的企业 SOC 设置——一个集中式日志服务器,用于收集和分析端点遥测数据,并针对常见攻击模式配置了自定义检测规则。 SIEM 平台是 SOC Analyst 的核心工具。部署、配置和编写 SIEM 检测逻辑的能力是入门级和中级网络安全职位中最抢手的技能之一。该项目专门为通过实践展示这一能力而构建。 ## 环境 | 组件 | 详情 | |---|---| | Hypervisor | VMware Workstation Pro 26H1(通过 Broadcom 免费获取) | | Wazuh Server | Ubuntu Server 22.04 VM — 4 vCPU,8GB RAM,100GB 磁盘 | | Wazuh 版本 | 4.7.5(all-in-one 安装) | | 受监控端点 | Windows 10 PC(agent:windows-pc) | | 端点遥测 | Sysmon v15(使用 SwiftOnSecurity 配置) | | 网络 | VMware NAT — VM IP: 192.168.77.129 | ## 构建内容 - 在 Ubuntu Server VM 上部署了 Wazuh all-in-one(manager + indexer + dashboard) - 将一台 Windows 10 机器注册为受监控的 agent - 使用 SwiftOnSecurity 规则集在 Windows 端点上安装了 Sysmon,以增强遥测能力 - 配置 Wazuh agent 从 Windows Event Log 通道收集 Sysmon 日志 - 构建了一个自定义 SOC dashboard,包含登录活动柱状图(过去 24 小时) - 编写了两条针对高优先级安全事件的自定义检测规则 ## 自定义检测规则 自定义规则使用 XML 编写,并存储在 /var/ossec/etc/rules/local_rules.xml 中。Wazuh 会根据这些规则实时评估传入的日志事件,并在条件匹配时生成警报。 ### 规则 100002 — 多次登录失败尝试 \```xml authentication_failed Multiple failed login attempts detected authentication_failures, \``` **重要性说明:** 在 120 秒内出现 5 次或更多次失败的登录尝试是暴力破解攻击的典型指标。当超过此阈值时,该规则将触发 Level 10 警报(高严重性)。 ### 规则 100003 — 创建了新的管理员账户 \```xml 60144 New admin account created on Windows account_management, \``` **重要性说明:** 未经授权的管理员账户创建是攻击者在获得初始访问权限后常用的一种持久化技术。此规则触发 Level 12(严重)警报,映射到 MITRE ATT&CK 的权限提升技术。 ## 仪表盘 在 Wazuh 内构建了一个自定义的 OpenSearch dashboard,用于使用 wazuh-alerts-* 索引可视化一段时间内的登录活动,通过身份验证事件进行过滤,并以垂直柱状图的形式显示过去 24 小时的数据。 ## 挑战与解决方法 **Ubuntu 24.04 兼容性:** Wazuh 4.7 官方最高支持 Ubuntu 22.04。安装脚本抛出了兼容性错误,通过传递 `--ignore-check` 标志得以解决。 **规则界面 Bug:** 由于 Ubuntu 24.04 的兼容性差距,Wazuh dashboard 的 Rules 页面抛出了 JavaScript 错误。自定义规则直接在终端中使用 `nano` 编写——这也是许多真实企业部署中管理规则的方式。 **curl 与 wget:** 最初使用 `curl -sO` 下载安装脚本时,内容被直接打印到终端而不是保存到磁盘。改用 `wget` 解决了该问题。 ## 结果 - 1 个活跃 agent(Windows PC)进行实时报告 - 生成了 516+ 条警报,并按 MITRE ATT&CK 技术自动分类 - MITRE ATT&CK 映射包括 T1059、T1105 和 T1087 - 针对暴力破解和管理员账户创建激活了自定义检测规则 - 登录活动 dashboard 在 Wazuh SOC Dashboard 中上线 ## 截图 ![Wazuh Dashboard](https://raw.githubusercontent.com/dmtaylorjr/Wazuh-SIEM/main/screenshots/wazuh-dashboard-login.png) ![Security Events](https://raw.githubusercontent.com/dmtaylorjr/Wazuh-SIEM/main/screenshots/security-events.png) ![Login Activity Dashboard](https://raw.githubusercontent.com/dmtaylorjr/Wazuh-SIEM/main/screenshots/login-activity-dashboard.png) ![Custom Rules](https://raw.githubusercontent.com/dmtaylorjr/Wazuh-SIEM/main/screenshots/custom-rules.png) ![Installation Complete](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/b6a1018a8e094737.png) ## 资源 - Wazuh 文档:https://documentation.wazuh.com - Sysmon Config:https://github.com/SwiftOnSecurity/sysmon-config - MITRE ATT&CK:https://attack.mitre.org
标签:Wazuh, 安全实验室, 安全运营中心, 端点检测, 红队行动, 网络映射