alberto-seco/wazuh-home-lab
GitHub: alberto-seco/wazuh-home-lab
基于 Wazuh SIEM 搭建的防御性安全实验室,用于模拟 SSH 暴力破解攻击并验证实时威胁检测与自动响应能力。
Stars: 1 | Forks: 0
🇪🇸 **ES**
# Wazuh 家庭实验室 — 使用 SIEM 进行威胁检测
## 目录
- [描述](#descripción)
- [实验室架构](#arquitectura-del-lab)
- [工具](#herramientas)
- [实验室目标](#objetivos-del-lab)
- [部署](#despliegue)
- [攻击模拟](#simulación-del-ataque)
- [检测与分析](#detección-y-análisis)
- [Active Response — 自动封锁](#active-response--bloqueo-automático)
- [结论](#conclusión)
- [免责声明](#aviso-legal)
## 描述
这是一个建立在 VirtualBox 上的防御性网络安全家庭实验室,运行在以 Ubuntu 为宿主机的 ThinkPad T480s 上。目标是将 Wazuh 部署为 SIEM,连接真实的 agent,模拟 SSH 暴力破解攻击,并根据 MITRE ATT&CK 框架分析生成的警报。实验室还集成了 Active Response,用于自动封锁攻击 IP。
## 实验室架构
| 机器 | 操作系统 | 角色 |
|---|---|---|
| Wazuh Manager | Ubuntu 22.04 | SIEM / Manager / Dashboard |
| Kali Linux | Kali GNU/Linux 2025.2 | Agent / 攻击机 |
VirtualBox 中的 host-only 网络 — 完全隔离的环境。
## 工具
- Wazuh v4.8 (Manager + Indexer + Dashboard)
- 带有 host-only 网络的 VirtualBox
- Hydra (模拟 SSH 暴力破解)
- MITRE ATT&CK Framework
- firewall-drop (Wazuh 内置的 Active Response)
## 实验室目标
- 在资源有限的虚拟化环境中部署一个功能齐全的 SIEM
- 注册并管理监控 agent
- 模拟真实攻击并验证其实时检测能力
- 使用 DQL 分析事件并将其映射到 MITRE ATT&CK
- 配置 Active Response 以自动封锁攻击 IP
- 练习 SOC 分析师的工作流:检测 → 调查 → 自动化响应
## 部署
Wazuh 是使用官方命令行安装程序进行安装的。该过程按顺序部署了 Indexer、Manager、Filebeat 和 Dashboard,确认每个服务都能正确启动。

*安装完成 — 所有服务均已成功启动。*
安装完成后,仪表板会显示已连接 agent 的摘要以及过去 24 小时内按严重程度分类的警报。

*仪表板概览 — 1 个活跃 agent,20 个中等严重性警报和 25 个低严重性警报。*
## 攻击模拟
Kali Linux 被注册为 Wazuh Manager 中的 agent,以实时监控其活动。

*Kali GNU/Linux 2025.2 已作为活跃 agent (kali-agente) 注册到 Manager 中。*
从 Kali 使用 Hydra 结合 rockyou.txt 字典对 Manager 发起了 SSH 暴力破解攻击 — 超过 1400 万次登录尝试,开启了 4 个并发线程。

*Hydra 使用 4 个并发线程攻击 ssh://192.168.56.3:22 — 真实的暴力破解攻击模拟。*
## 检测与分析
Wazuh 实时检测到了攻击。在 `alerts.log` 中可以看到完整的流程:首先是针对每次单独尝试的规则 5760(认证失败,level 5),然后在积累了足够的失败次数后升级为规则 5763(level 10),根据 MITRE ATT&CK T1110 自动将其分类为 **Brute Force**。

*实时 alerts.log — 针对单独尝试的规则 5760 以及在检测到来自 192.168.56.4 的暴力破解模式时的规则 5763 (level 10)。*
在仪表板的 Threat Hunting 模块中,可视化了所有生成的警报:过去 24 小时内有 44 次认证失败,检测到了相关的 MITRE ATT&CK 技术(Password Guessing、SSH、Brute Force),并且有与攻击相对应的明显活动高峰。

*Threat Hunting 仪表板 — 44 次认证失败,热门 MITRE ATT&CK:Brute Force、SSH、Password Guessing。18:00 的活动高峰与攻击时间相吻合。*
事件表显示了完整的周期:单独的认证失败(规则 5760)、暴力破解检测(规则 5763,level 10,MITRE T1110)以及自动封锁确认(规则 651 — Host Blocked by firewall-drop Active Response)。

*事件时间线 — 规则 5760、5763 和 651 (Host Blocked by firewall-drop Active Response)。*
## Active Response — 自动封锁
### 配置
在 `ossec.conf` 中配置了 Wazuh 的 `firewall-drop` 功能,以便在触发规则 5763(SSH 暴力破解)时自动将攻击 IP 封锁 60 秒:
```
firewall-drop
local
5763
60
```
### 结果
在触发规则 5763 时,Wazuh 自动执行了 `firewall-drop`,通过 iptables 封锁了 IP 192.168.56.4 (Kali)。Active Response 日志显示了完整的周期:
- **`add`** — 检测到暴力破解时激活封锁
- **`check_keys`** — 验证要封锁的 IP
- **`continue`** — 应用封锁
- **`delete`** — 60 秒后自动解除封锁

*active-responses.log — 完整周期:firewall-drop Starting → add → check_keys → continue → Ended → 60秒后 delete。*
每次 Kali 在超时后恢复攻击时,该过程都会自主重复,证明了系统连续的自动响应能力。

*第二个封锁周期 — firedtimes: 2。Wazuh 完全自主地进行检测、封锁和释放。*
## 结论
该实验室演示了如何在资源有限的家庭环境中部署和操作开源 SIEM。通过模拟真实的 SSH 暴力破解攻击,充分验证了 Wazuh 在检测、警报、根据行业标准框架对威胁进行分类以及通过自动封锁攻击 IP 进行响应方面的能力。整个过程巩固了 SOC 分析师的关键技能:日志分析、事件关联、threat hunting、DQL 查询以及自动化 Active Response 配置。
🚧 实验室持续扩建中。
## 免责声明
所有模拟均是在完全隔离和受控的环境下,于个人拥有的机器上进行的。切勿对第三方系统或生产环境使用这些技术。
🇬🇧 **EN**
# Wazuh 家庭实验室 — 使用 SIEM 进行威胁检测
## 目录
- [描述](#description)
- [实验室架构](#lab-architecture)
- [工具](#tools)
- [实验室目标](#lab-goals)
- [部署](#deployment)
- [攻击模拟](#attack-simulation)
- [检测与分析](#detection--analysis)
- [Active Response — 自动封锁](#active-response--automated-blocking)
- [结论](#conclusion)
- [免责声明](#legal-notice)
## 描述
这是一个建立在 VirtualBox 上的防御性网络安全家庭实验室,运行在 ThinkPad T480s(Ubuntu 宿主机)上。目标是将 Wazuh 部署为 SIEM,连接真实的 agent,模拟 SSH 暴力破解攻击,并分析映射到 MITRE ATT&CK 框架的生成警报。实验室还集成了 Active Response,用于自动封锁攻击 IP。
## 实验室架构
| 机器 | 操作系统 | 角色 |
|---|---|---|
| Wazuh Manager | Ubuntu 22.04 | SIEM / Manager / Dashboard |
| Kali Linux | Kali GNU/Linux 2025.2 | Agent / 攻击机 |
VirtualBox 中的 host-only 网络 — 完全隔离的环境。
## 工具
- Wazuh v4.8 (Manager + Indexer + Dashboard)
- 带有 host-only 网络的 VirtualBox
- Hydra (模拟 SSH 暴力破解)
- MITRE ATT&CK Framework
- firewall-drop (Wazuh 内置的 Active Response)
## 实验室目标
- 在资源有限的虚拟化环境中部署一个功能齐全的 SIEM
- 注册并管理监控 agent
- 模拟真实攻击并验证其实时检测能力
- 使用 DQL 分析事件并将其映射到 MITRE ATT&CK
- 配置 Active Response 以自动封锁 IP
- 练习 SOC 分析师的工作流:检测 → 调查 → 自动化响应
## 部署
Wazuh 是使用官方命令行安装程序进行安装的。该过程按顺序部署了 Indexer、Manager、Filebeat 和 Dashboard,确认每个服务都能正确启动。

*安装完成 — 所有服务均已成功启动。*
安装完成后,仪表板会显示已连接 agent 的摘要以及过去 24 小时内按严重程度分类的警报。

*仪表板概览 — 1 个活跃 agent,20 个中等严重性警报和 25 个低严重性警报。*
## 攻击模拟
Kali Linux 被注册为 Wazuh Manager 中的 agent,以实时监控其活动。

*Kali GNU/Linux 2025.2 已作为活跃 agent (kali-agente) 注册到 Manager 中。*
从 Kali 使用 Hydra 结合 rockyou.txt 字典对 Manager 发起了 SSH 暴力破解攻击 — 超过 1400 万次登录尝试,开启了 4 个并发线程。

*Hydra 使用 4 个并发线程攻击 ssh://192.168.56.3:22 — 真实的暴力破解攻击模拟。*
## 检测与分析
Wazuh 实时检测到了攻击。`alerts.log` 显示了完整的流程:首先是针对每次单独尝试的规则 5760(认证失败,level 5),然后在积累了足够的失败次数后升级为规则 5763(level 10),根据 MITRE ATT&CK T1110 自动将其分类为 **Brute Force**。

*实时 alerts.log — 针对单独尝试的规则 5760 以及在检测到来自 192.168.56.4 的暴力破解模式时的规则 5763 (level 10)。*
Threat Hunting 仪表板显示了所有生成的警报:过去 24 小时内有 44 次认证失败,检测到了相关的 MITRE ATT&CK 技术(Password Guessing、SSH、Brute Force),并且有与攻击相对应的明显活动高峰。

*Threat Hunting 仪表板 — 44 次认证失败,热门 MITRE ATT&CK:Brute Force、SSH、Password Guessing。18:00 的活动高峰与攻击时间相吻合。*
事件表显示了完整的周期:单独的认证失败(规则 5760)、暴力破解检测(规则 5763,level 10,MITRE T1110)以及自动封锁确认(规则 651 — Host Blocked by firewall-drop Active Response)。

*事件时间线 — 规则 5760、5763 和 651 (Host Blocked by firewall-drop Active Response)。*
## Active Response — 自动封锁
### 配置
在 `ossec.conf` 中配置了 `firewall-drop` Active Response,以便在触发规则 5763(SSH 暴力破解)时自动将攻击 IP 封锁 60 秒:
```
firewall-drop
local
5763
60
```
### 结果
在触发规则 5763 时,Wazuh 自动执行了 `firewall-drop`,通过 iptables 封锁了 IP 192.168.56.4 (Kali)。Active Response 日志显示了完整的周期:
- **`add`** — 检测到暴力破解时激活封锁
- **`check_keys`** — 验证要封锁的 IP
- **`continue`** — 应用封锁
- **`delete`** — 60 秒后自动解除封锁

*active-responses.log — 完整周期:firewall-drop Starting → add → check_keys → continue → Ended → 60秒后 delete。*
每次 Kali 在超时后恢复攻击时,该过程都会自主重复,证明了系统连续的自动响应能力。

*第二个封锁周期 — firedtimes: 2。Wazuh 完全自主地进行检测、封锁和释放。*
## 结论
该实验室演示了如何在资源有限环境中部署和操作开源 SIEM。通过模拟真实的 SSH 暴力破解攻击,充分验证了 Wazuh 在检测、警报、根据行业标准框架对威胁进行分类以及通过自动封锁攻击 IP 进行响应方面的能力。整个过程巩固了 SOC 分析师的关键技能:日志分析、事件关联、threat hunting、DQL 查询以及自动化 Active Response 配置。
🚧 实验室持续扩建中。
## 免责声明
所有模拟均是在完全隔离和受控的环境下,于个人拥有的机器上进行的。切勿对第三方系统或生产环境使用这些技术。
标签:SSH暴力破解, Wazuh, 主动响应, 安全运营中心, 网络映射, 虚拟化实验环境