alberto-seco/wazuh-home-lab

GitHub: alberto-seco/wazuh-home-lab

基于 Wazuh SIEM 搭建的防御性安全实验室,用于模拟 SSH 暴力破解攻击并验证实时威胁检测与自动响应能力。

Stars: 1 | Forks: 0

🇪🇸 **ES** # Wazuh 家庭实验室 — 使用 SIEM 进行威胁检测 ## 目录 - [描述](#descripción) - [实验室架构](#arquitectura-del-lab) - [工具](#herramientas) - [实验室目标](#objetivos-del-lab) - [部署](#despliegue) - [攻击模拟](#simulación-del-ataque) - [检测与分析](#detección-y-análisis) - [Active Response — 自动封锁](#active-response--bloqueo-automático) - [结论](#conclusión) - [免责声明](#aviso-legal) ## 描述 这是一个建立在 VirtualBox 上的防御性网络安全家庭实验室,运行在以 Ubuntu 为宿主机的 ThinkPad T480s 上。目标是将 Wazuh 部署为 SIEM,连接真实的 agent,模拟 SSH 暴力破解攻击,并根据 MITRE ATT&CK 框架分析生成的警报。实验室还集成了 Active Response,用于自动封锁攻击 IP。 ## 实验室架构 | 机器 | 操作系统 | 角色 | |---|---|---| | Wazuh Manager | Ubuntu 22.04 | SIEM / Manager / Dashboard | | Kali Linux | Kali GNU/Linux 2025.2 | Agent / 攻击机 | VirtualBox 中的 host-only 网络 — 完全隔离的环境。 ## 工具 - Wazuh v4.8 (Manager + Indexer + Dashboard) - 带有 host-only 网络的 VirtualBox - Hydra (模拟 SSH 暴力破解) - MITRE ATT&CK Framework - firewall-drop (Wazuh 内置的 Active Response) ## 实验室目标 - 在资源有限的虚拟化环境中部署一个功能齐全的 SIEM - 注册并管理监控 agent - 模拟真实攻击并验证其实时检测能力 - 使用 DQL 分析事件并将其映射到 MITRE ATT&CK - 配置 Active Response 以自动封锁攻击 IP - 练习 SOC 分析师的工作流:检测 → 调查 → 自动化响应 ## 部署 Wazuh 是使用官方命令行安装程序进行安装的。该过程按顺序部署了 Indexer、Manager、Filebeat 和 Dashboard,确认每个服务都能正确启动。 ![Wazuh 安装](https://static.pigsec.cn/wp-content/uploads/repos/cas/92/92ddc47c436ae990d04d0f552980aaf1ea7d01a21788891a3e6cf79ab9286497.png) *安装完成 — 所有服务均已成功启动。* 安装完成后,仪表板会显示已连接 agent 的摘要以及过去 24 小时内按严重程度分类的警报。 ![Wazuh 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/e5/e552ab70ad9f74322c788ac1d33e398ced445c355d355bb7f0f563c58e5055d2.png) *仪表板概览 — 1 个活跃 agent,20 个中等严重性警报和 25 个低严重性警报。* ## 攻击模拟 Kali Linux 被注册为 Wazuh Manager 中的 agent,以实时监控其活动。 ![Kali Agent 已连接](https://static.pigsec.cn/wp-content/uploads/repos/cas/c1/c187ea1787387eea7a4917db0dc9f3af408ca7923193f9b919e1db156b759f2a.png) *Kali GNU/Linux 2025.2 已作为活跃 agent (kali-agente) 注册到 Manager 中。* 从 Kali 使用 Hydra 结合 rockyou.txt 字典对 Manager 发起了 SSH 暴力破解攻击 — 超过 1400 万次登录尝试,开启了 4 个并发线程。 ![Hydra 攻击](https://static.pigsec.cn/wp-content/uploads/repos/cas/46/463536ff6c3243e65933eaaf0dbf0caa1a37aad0e78dc189e0f27eb41e20726f.png) *Hydra 使用 4 个并发线程攻击 ssh://192.168.56.3:22 — 真实的暴力破解攻击模拟。* ## 检测与分析 Wazuh 实时检测到了攻击。在 `alerts.log` 中可以看到完整的流程:首先是针对每次单独尝试的规则 5760(认证失败,level 5),然后在积累了足够的失败次数后升级为规则 5763(level 10),根据 MITRE ATT&CK T1110 自动将其分类为 **Brute Force**。 ![实时警报](https://static.pigsec.cn/wp-content/uploads/repos/cas/a7/a7459539c05f5e16386f8eec47302d91bb1bbf9ba9a5e545c87ef2fc504dd6b8.png) *实时 alerts.log — 针对单独尝试的规则 5760 以及在检测到来自 192.168.56.4 的暴力破解模式时的规则 5763 (level 10)。* 在仪表板的 Threat Hunting 模块中,可视化了所有生成的警报:过去 24 小时内有 44 次认证失败,检测到了相关的 MITRE ATT&CK 技术(Password Guessing、SSH、Brute Force),并且有与攻击相对应的明显活动高峰。 ![Threat Hunting 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/05/05d4735f7e9786f4f29613c109e57f0644ac7594ef0dc61560482573949dd7de.png) *Threat Hunting 仪表板 — 44 次认证失败,热门 MITRE ATT&CK:Brute Force、SSH、Password Guessing。18:00 的活动高峰与攻击时间相吻合。* 事件表显示了完整的周期:单独的认证失败(规则 5760)、暴力破解检测(规则 5763,level 10,MITRE T1110)以及自动封锁确认(规则 651 — Host Blocked by firewall-drop Active Response)。 ![事件表](https://static.pigsec.cn/wp-content/uploads/repos/cas/11/11fccffa5cfb2e3e0a0bb78315b7992a2cf2d925f62a44c2944330d7e7a09835.png) *事件时间线 — 规则 5760、5763 和 651 (Host Blocked by firewall-drop Active Response)。* ## Active Response — 自动封锁 ### 配置 在 `ossec.conf` 中配置了 Wazuh 的 `firewall-drop` 功能,以便在触发规则 5763(SSH 暴力破解)时自动将攻击 IP 封锁 60 秒: ``` firewall-drop local 5763 60 ``` ### 结果 在触发规则 5763 时,Wazuh 自动执行了 `firewall-drop`,通过 iptables 封锁了 IP 192.168.56.4 (Kali)。Active Response 日志显示了完整的周期: - **`add`** — 检测到暴力破解时激活封锁 - **`check_keys`** — 验证要封锁的 IP - **`continue`** — 应用封锁 - **`delete`** — 60 秒后自动解除封锁 ![Active Response 日志](https://static.pigsec.cn/wp-content/uploads/repos/cas/59/595bfcf39f7eae8ce930a423edeea6528252f452892f6700a0168fc335f96477.png) *active-responses.log — 完整周期:firewall-drop Starting → add → check_keys → continue → Ended → 60秒后 delete。* 每次 Kali 在超时后恢复攻击时,该过程都会自主重复,证明了系统连续的自动响应能力。 ![Active Response 完整周期](https://static.pigsec.cn/wp-content/uploads/repos/cas/ac/ac7eb606393a49ab41cbd30991e160e31e007687e9c96201c9ebc833ecf671b3.png) *第二个封锁周期 — firedtimes: 2。Wazuh 完全自主地进行检测、封锁和释放。* ## 结论 该实验室演示了如何在资源有限的家庭环境中部署和操作开源 SIEM。通过模拟真实的 SSH 暴力破解攻击,充分验证了 Wazuh 在检测、警报、根据行业标准框架对威胁进行分类以及通过自动封锁攻击 IP 进行响应方面的能力。整个过程巩固了 SOC 分析师的关键技能:日志分析、事件关联、threat hunting、DQL 查询以及自动化 Active Response 配置。 🚧 实验室持续扩建中。 ## 免责声明 所有模拟均是在完全隔离和受控的环境下,于个人拥有的机器上进行的。切勿对第三方系统或生产环境使用这些技术。 🇬🇧 **EN** # Wazuh 家庭实验室 — 使用 SIEM 进行威胁检测 ## 目录 - [描述](#description) - [实验室架构](#lab-architecture) - [工具](#tools) - [实验室目标](#lab-goals) - [部署](#deployment) - [攻击模拟](#attack-simulation) - [检测与分析](#detection--analysis) - [Active Response — 自动封锁](#active-response--automated-blocking) - [结论](#conclusion) - [免责声明](#legal-notice) ## 描述 这是一个建立在 VirtualBox 上的防御性网络安全家庭实验室,运行在 ThinkPad T480s(Ubuntu 宿主机)上。目标是将 Wazuh 部署为 SIEM,连接真实的 agent,模拟 SSH 暴力破解攻击,并分析映射到 MITRE ATT&CK 框架的生成警报。实验室还集成了 Active Response,用于自动封锁攻击 IP。 ## 实验室架构 | 机器 | 操作系统 | 角色 | |---|---|---| | Wazuh Manager | Ubuntu 22.04 | SIEM / Manager / Dashboard | | Kali Linux | Kali GNU/Linux 2025.2 | Agent / 攻击机 | VirtualBox 中的 host-only 网络 — 完全隔离的环境。 ## 工具 - Wazuh v4.8 (Manager + Indexer + Dashboard) - 带有 host-only 网络的 VirtualBox - Hydra (模拟 SSH 暴力破解) - MITRE ATT&CK Framework - firewall-drop (Wazuh 内置的 Active Response) ## 实验室目标 - 在资源有限的虚拟化环境中部署一个功能齐全的 SIEM - 注册并管理监控 agent - 模拟真实攻击并验证其实时检测能力 - 使用 DQL 分析事件并将其映射到 MITRE ATT&CK - 配置 Active Response 以自动封锁 IP - 练习 SOC 分析师的工作流:检测 → 调查 → 自动化响应 ## 部署 Wazuh 是使用官方命令行安装程序进行安装的。该过程按顺序部署了 Indexer、Manager、Filebeat 和 Dashboard,确认每个服务都能正确启动。 ![Wazuh 安装](https://static.pigsec.cn/wp-content/uploads/repos/cas/92/92ddc47c436ae990d04d0f552980aaf1ea7d01a21788891a3e6cf79ab9286497.png) *安装完成 — 所有服务均已成功启动。* 安装完成后,仪表板会显示已连接 agent 的摘要以及过去 24 小时内按严重程度分类的警报。 ![Wazuh 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/e5/e552ab70ad9f74322c788ac1d33e398ced445c355d355bb7f0f563c58e5055d2.png) *仪表板概览 — 1 个活跃 agent,20 个中等严重性警报和 25 个低严重性警报。* ## 攻击模拟 Kali Linux 被注册为 Wazuh Manager 中的 agent,以实时监控其活动。 ![Kali Agent 已连接](https://static.pigsec.cn/wp-content/uploads/repos/cas/c1/c187ea1787387eea7a4917db0dc9f3af408ca7923193f9b919e1db156b759f2a.png) *Kali GNU/Linux 2025.2 已作为活跃 agent (kali-agente) 注册到 Manager 中。* 从 Kali 使用 Hydra 结合 rockyou.txt 字典对 Manager 发起了 SSH 暴力破解攻击 — 超过 1400 万次登录尝试,开启了 4 个并发线程。 ![Hydra 攻击](https://static.pigsec.cn/wp-content/uploads/repos/cas/46/463536ff6c3243e65933eaaf0dbf0caa1a37aad0e78dc189e0f27eb41e20726f.png) *Hydra 使用 4 个并发线程攻击 ssh://192.168.56.3:22 — 真实的暴力破解攻击模拟。* ## 检测与分析 Wazuh 实时检测到了攻击。`alerts.log` 显示了完整的流程:首先是针对每次单独尝试的规则 5760(认证失败,level 5),然后在积累了足够的失败次数后升级为规则 5763(level 10),根据 MITRE ATT&CK T1110 自动将其分类为 **Brute Force**。 ![实时警报](https://static.pigsec.cn/wp-content/uploads/repos/cas/a7/a7459539c05f5e16386f8eec47302d91bb1bbf9ba9a5e545c87ef2fc504dd6b8.png) *实时 alerts.log — 针对单独尝试的规则 5760 以及在检测到来自 192.168.56.4 的暴力破解模式时的规则 5763 (level 10)。* Threat Hunting 仪表板显示了所有生成的警报:过去 24 小时内有 44 次认证失败,检测到了相关的 MITRE ATT&CK 技术(Password Guessing、SSH、Brute Force),并且有与攻击相对应的明显活动高峰。 ![Threat Hunting 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/05/05d4735f7e9786f4f29613c109e57f0644ac7594ef0dc61560482573949dd7de.png) *Threat Hunting 仪表板 — 44 次认证失败,热门 MITRE ATT&CK:Brute Force、SSH、Password Guessing。18:00 的活动高峰与攻击时间相吻合。* 事件表显示了完整的周期:单独的认证失败(规则 5760)、暴力破解检测(规则 5763,level 10,MITRE T1110)以及自动封锁确认(规则 651 — Host Blocked by firewall-drop Active Response)。 ![事件表](https://static.pigsec.cn/wp-content/uploads/repos/cas/11/11fccffa5cfb2e3e0a0bb78315b7992a2cf2d925f62a44c2944330d7e7a09835.png) *事件时间线 — 规则 5760、5763 和 651 (Host Blocked by firewall-drop Active Response)。* ## Active Response — 自动封锁 ### 配置 在 `ossec.conf` 中配置了 `firewall-drop` Active Response,以便在触发规则 5763(SSH 暴力破解)时自动将攻击 IP 封锁 60 秒: ``` firewall-drop local 5763 60 ``` ### 结果 在触发规则 5763 时,Wazuh 自动执行了 `firewall-drop`,通过 iptables 封锁了 IP 192.168.56.4 (Kali)。Active Response 日志显示了完整的周期: - **`add`** — 检测到暴力破解时激活封锁 - **`check_keys`** — 验证要封锁的 IP - **`continue`** — 应用封锁 - **`delete`** — 60 秒后自动解除封锁 ![Active Response 日志](https://static.pigsec.cn/wp-content/uploads/repos/cas/59/595bfcf39f7eae8ce930a423edeea6528252f452892f6700a0168fc335f96477.png) *active-responses.log — 完整周期:firewall-drop Starting → add → check_keys → continue → Ended → 60秒后 delete。* 每次 Kali 在超时后恢复攻击时,该过程都会自主重复,证明了系统连续的自动响应能力。 ![Active Response 完整周期](https://static.pigsec.cn/wp-content/uploads/repos/cas/ac/ac7eb606393a49ab41cbd30991e160e31e007687e9c96201c9ebc833ecf671b3.png) *第二个封锁周期 — firedtimes: 2。Wazuh 完全自主地进行检测、封锁和释放。* ## 结论 该实验室演示了如何在资源有限环境中部署和操作开源 SIEM。通过模拟真实的 SSH 暴力破解攻击,充分验证了 Wazuh 在检测、警报、根据行业标准框架对威胁进行分类以及通过自动封锁攻击 IP 进行响应方面的能力。整个过程巩固了 SOC 分析师的关键技能:日志分析、事件关联、threat hunting、DQL 查询以及自动化 Active Response 配置。 🚧 实验室持续扩建中。 ## 免责声明 所有模拟均是在完全隔离和受控的环境下,于个人拥有的机器上进行的。切勿对第三方系统或生产环境使用这些技术。
标签:SSH暴力破解, Wazuh, 主动响应, 安全运营中心, 网络映射, 虚拟化实验环境