carrollj8471-ux/ISec-Engineering-Home-Lab

# 安全工程家庭实验室：Wazuh SIEM、Endpoint 监控、漏洞扫描与系统强化 ## 概述 本项目是一个动手实践的安全工程家庭实验室，旨在演示 endpoint 监控、日志收集、漏洞式扫描、检测验证以及系统强化。 该实验室使用 Wazuh 作为核心安全监控平台，由 Linux 和 Windows endpoint 转发安全遥测数据。我生成了受控的安全事件，审查了警报，执行了 Nmap 扫描，强化了 Linux endpoint，并通过前后的证据验证了结果。 ## 实验室架构  ## 实验室组件 | 组件 | 用途 | |---|---| | Wazuh Server | SIEM/安全监控平台 | | Linux Endpoint | 受监控的 Ubuntu endpoint | | Windows Endpoint | 受监控的 Windows endpoint | | Sysmon | 增强的 Windows 遥测 | | Nmap | 端口和服务扫描 | | UFW | Linux 防火墙强化 | ## 使用的工具 - Wazuh - Ubuntu Linux - Windows - Sysmon - Nmap - UFW - PowerShell - Hyper-V ## 展示的技能 - SIEM 部署 - Endpoint 监控 - Linux 日志收集 - Windows 事件监控 - Sysmon 遥测 - 失败登录检测 - 文件完整性监控 - 端口和服务发现 - Linux 防火墙强化 - 攻击面缩减 - 安全文档编写 ## 检测与工程测试 | 测试 | 描述 | 证据 | |---|---|---| | 失败的 SSH 登录检测 | 针对 Linux endpoint 生成了无效的 SSH 登录尝试 | `screenshots/03-linux-failed-ssh-alert.png` | | 文件完整性监控 | 监控了 `/secure-data` 并检测到了文件修改 | `screenshots/04-file-integrity-monitoring-alert.png` | | 强化前的 Nmap 扫描 | 识别了修复前暴露的服务 | `screenshots/05-nmap-scan-before-hardening.png` | | Linux 强化及强化后扫描 | 启用了防火墙控制并验证了暴露面的减少 | `screenshots/07-nmap-scan-after-hardening.png` | | Windows Agent 监控 | 将 Windows endpoint 连接到了 Wazuh | `screenshots/08-windows-agent-connected.png` | | Sysmon / PowerShell 检测 | 捕获了可疑的 PowerShell 式活动 | `screenshots/10-powershell-detection.png` | ## 关键发现 ### 强化前的 Linux Endpoint Nmap 识别出 Linux endpoint 上暴露了 SSH： ``` 22/tcp open ssh OpenSSH 7.6p1 ```

标签：AI合规, CTI, Wazuh, x64dbg, 子域名变形, 安全工程, 家庭实验室, 插件系统, 系统加固, 终端监控