bryanherdianto/blue-team-wazuh-lab
GitHub: bryanherdianto/blue-team-wazuh-lab
基于 Wazuh 构建的蓝队 SIEM 实践实验室,涵盖威胁检测、主动响应、数据库审计和网络监控等多场景的 SOC 实战演练环境。
Stars: 0 | Forks: 0
# 蓝队 Wazuh 实验室
这是一个亲自动手实践的蓝队学习实验室。我在 VPS 上通过 Docker 部署了 **Wazuh 4.14.5**(开源 SIEM/XDR),注册了两个受监控的终端(Windows 10 + Ubuntu 22.04),并完成了多个检测、响应和监控场景 —— 从 Sysmon 遥测到恶意软件检测、FIM、VirusTotal 集成、主动响应、MariaDB 审计、SBOM 分析以及 Zeek 网络监控。
本仓库记录了整个过程:配置、自定义规则、仪表板导出、截图和笔记。
## 实验室拓扑
```
+-------------------+ +-----------------------------+
| VPS (2 vCPU, | | Endpoints |
| 8 GB RAM) | | |
| | | +-----------------------+ |
| Wazuh Manager |<-------+--| Windows 10 VM | |
| Wazuh Indexer | 1514 | | (Sysmon + Wazuh agent)| |
| Wazuh Dashboard | 1515 | +-----------------------+ |
| (Docker compose) | | |
| | | +-----------------------+ |
| Zeek (on Ubuntu |<-------+--| Ubuntu 22.04 VM | |
| VM, bridged) | | | (auditd + Wazuh agent | |
+-------------------+ | | + MariaDB + Zeek) | |
| +-----------------------+ |
+-----------------------------+
```
## 仓库结构
| 文件夹 | 用途 |
| ---------------------- | ------------------------------------------------------------------------------------------------------------- |
| [`docs/`](docs/) | 学习笔记、参考资料和命令速查表 |
| [`configs/`](configs/) | 所有配置文件 — Wazuh agent/manager、Sysmon、MariaDB 审计以及完整的 `wazuh-docker/` 部署 |
| [`rules/`](rules/) | 自定义 Wazuh 检测规则(cipher.exe + DeerStealer 恶意软件) |
| [`exports/`](exports/) | 从 Wazuh Discover 导出的 CSV 文件 + 一个 SBOM JSON 示例 |
| [`reports/`](reports/) | 从 Wazuh 仪表板生成的 PDF 报告(FIM、MITRE、概述) |
| [`mitre/`](mitre/) | MITRE ATT&CK Navigator 层 + 截图 |
| [`images/`](images/) | 记录实验室每个步骤的截图 |
## 文档
- **[docs/what-i-learned.md](docs/what-i-learned.md)** — 整个实验室过程的主要记录,从 Docker 部署到 Zeek 集成。涵盖了沿途的每一个决策、错误和修复。
- **[docs/references.md](docs/references.md)** — 实验室中使用的所有外部链接和文档。
- **[docs/move-command.md](docs/move-command.md)** — 使用 `scp` 将文件从 VPS 复制到本地机器的快速参考指南。
## 涵盖场景
1. **Docker 部署** — 通过 `docker-compose` 部署 Wazuh manager + indexer + dashboard,包括设置持久化的 `vm.max_map_count` 和生成证书。
2. **Agent 注册** — 在 Windows 10 和 Ubuntu 22.04 虚拟机上部署 Wazuh agent。
3. **Sysmon 遥测** — SwiftOnSecurity 配置,Event ID 1 与 Event ID 10 的区别,以及 `ossec.conf` 集成。
4. **自定义检测规则** — `cipher.exe` 执行(规则 `119998`/`119999`)和 DeerStealer 恶意软件(规则 `111200`–`111206`),并包含 MITRE ATT&CK 映射。
5. **文件完整性监控 (FIM)** — 在 Ubuntu 上通过 `agent.conf` 实现 realtime + `check_all`。
6. **VirusTotal 集成** — 由 FIM 告警(EICAR 测试)触发的自动化恶意软件扫描。
7. **主动响应** — 包含 `jq`、`chown` 和 `chmod 750` 的 `remove-threat.sh` 脚本。
8. **MariaDB 审计** — 用于身份验证/DML/DLL 操作的 `50-audit.cnf`、解码器和规则。
9. **MITRE ATT&CK 映射** — 根据检测覆盖率进行颜色编码的 Navigator 层。
10. **SBOM + Dependency-Track** — CycloneDX BOM 生成(npm + Python)以及 Wazuh 告警。
11. **Zeek 网络监控** — DNS 查询检测,Ubuntu 22.04 安装调整,以及网卡接口修复(`eth0` → `enp0s3`)。
## 核心配置
| 文件 | 描述 |
| ------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------ |
| [`configs/wazuh-docker/single-node/docker-compose.yml`](configs/wazuh-docker/single-node/docker-compose.yml) | 完整的 Wazuh 栈部署(manager + indexer + dashboard) |
| [`configs/wazuh-docker/single-node/config/wazuh_cluster/wazuh_manager.conf`](configs/wazuh-docker/single-node/config/wazuh_cluster/wazuh_manager.conf) | 包含 VirusTotal 集成 + 主动响应的 manager 配置 |
| [`configs/agent.conf`](configs/agent.conf) | 用于 Linux FIM 的集中式 agent 配置 |
| [`configs/sysmonconfig.xml`](configs/sysmonconfig.xml) | SwiftOnSecurity Sysmon 配置(添加了 Event ID 1) |
| [`configs/50-audit.cnf`](configs/50-audit.cnf) | MariaDB 审计插件配置 |
## 自定义规则
| 文件 | 规则 ID | 用途 |
| ------------------------------------------------------------ | ----------------- | ----------------------------------------------------------------------------------------------------------------------- |
| [`rules/cipher_rule_1.xml`](rules/cipher_rule_1.xml) | `119998` | 通过 Sysmon Event ID 1(进程创建)检测 `cipher.exe` 执行 |
| [`rules/cipher_rule_10.xml`](rules/cipher_rule_10.xml) | `119999` | 通过 Sysmon Event ID 10(进程访问)检测 `cipher.exe` 执行 |
| [`rules/deerstealer_rules.xml`](rules/deerstealer_rules.xml) | `111200`–`111206` | DeerStealer 恶意软件检测 — 持久化、文件创建、进程创建、C2 网络连接、注册表篡改 |
## 技术栈
- **SIEM/XDR:** Wazuh 4.14.5 (Docker 部署)
- **终端:** Windows 10 虚拟机, Ubuntu 22.04 服务器虚拟机 (VirtualBox, 桥接网卡)
- **遥测:** Sysmon (SwiftOnSecurity), auditd
- **网络监控:** Zeek
- **数据库审计:** MariaDB + 审计插件
- **SBOM:** CycloneDX (npm + Python), Dependency-Track
- **威胁情报:** VirusTotal API 集成
- **框架:** MITRE ATT&CK Navigator
标签:Wazuh, x64dbg, 安全实验环境, 安全运营中心, 网络映射, 请求拦截