MrBipinShrestha/soc-home-lab-wazuh

# SOC 家庭实验室：Wazuh SIEM 一个完整的安全运营中心 (SOC) 家庭实验室，使用 Wazuh 演示 SIEM 管理、攻击模拟、事件响应和检测工程。 ## 🎯 概述 本实验室通过以下方式展示实用的 SOC 分析师技能： - 在受控环境中执行的 **5 个真实攻击场景** - 包含详细分析的**专业事件响应文档** - **检测工程**，包括安全漏洞的识别与修复 - 跨 Windows 和 Linux 系统的**日志分析与关联** - 与行业框架 (NIST 800-53, PCI-DSS, HIPAA, GDPR) 的**合规性映射** ## 🏗️ 实验室架构 ``` ┌─────────────────────────────────┐ │ Wazuh SIEM Manager (Ubuntu) │ │ 192.168.100.5 │ └──────────────┬──────────────────┘ │ NAT Network (soc-lab) 192.168.100.0/24 │ ┌──────────┼──────────┐ │ │ │ ┌───▼──┐ ┌───▼──┐ ┌────▼───┐ │Win10 │ │ Kali │ │Optional │ │Agent │ │Agent │ │ Target │ │ID:001│ │ID:004│ │ │ └──────┘ └──────┘ └─────────┘ ✅ Connected ``` ## 🔴 攻击场景 | # | 场景 | 技术 | 检测 | 报告 | |---|----------|-----------|-----------|--------| | 1 | SSH 暴力破解 | T1110.001 | ✅ 已检测 | [查看](phase2-attack-scenarios/01-ssh-brute-force/) | | 2 | 权限提升 | T1548.004 | ✅ 已检测 | [查看](phase2-attack-scenarios/02-privilege-escalation/) | | 3 | 恶意软件持久化 | T1053.005 | ⚠️ 检测漏洞 | [查看](phase2-attack-scenarios/03-malware-persistence/) | | 4 | 数据窃取 | T1041 | ⚠️ 检测漏洞 | [查看](phase2-attack-scenarios/04-data-exfiltration/) | | 5 | Cron 任务后门 | T1053.006 | ✅ 已检测 | [查看](phase2-attack-scenarios/05-persistence-cron/) | ## 🎓 关键发现 ### 检测成功率：60%（5 项中自动检测到 3 项） **已检测内容：** - ✅ SSH 暴力破解攻击 (规则 5760, 5758) - ✅ 权限提升尝试 (规则 5405) - ✅ Cron 任务修改 (规则 2833) **发现的检测漏洞：** - ❌ Windows 计划任务创建 (事件 ID 4698 未转发) - ❌ 文件暂存操作 (FIM 未监控 /tmp/ 和家目录) **重要性说明：** 了解检测漏洞对 SOC 分析师至关重要。本实验室展示了： 1. 默认检测到的内容（强大的监控） 2. 需要配置的内容（SIEM 调优） 3. 漏洞存在的原因（架构决策） 4. 如何修复（具体的建议） ## 📊 事件报告 每个场景包括： - 带有精确时间戳的**攻击时间线** - 针对工件和证据的**取证分析** - **检测分析**（哪些有效，哪些无效，为什么） - **影响评估**（机密性、完整性、可用性） - **修复建议**（短期、中期、长期） - **合规性影响** (NIST, PCI-DSS, HIPAA, GDPR) 总分析：涵盖完整攻击生命周期的**专业事件文档**。 ## 🛠️ 展示的技能 | 类别 | 技能 | |----------|--------| | **SIEM** | Wazuh 管理、agent 部署、规则创建 | | **检测工程** | 规则调优、日志分析、告警关联 | | **攻击模拟** | Hydra, PowerShell, cron, tar 归档 | | **日志分析** | auth.log、事件查看器、syslog 解读 | | **事件响应** | 时间线重建、证据收集、报告 | | **Linux/Windows** | 操作系统加固、事件日志记录、审计配置 | | **合规性** | NIST 800-53, PCI-DSS, HIPAA, GDPR 映射 | | **威胁框架** | MITRE ATT&CK 关联与分析 | ## 📁 仓库结构 ``` soc-home-lab-wazuh/ ├── README.md (this file) ├── phase2-attack-scenarios/ │ ├── README.md (comprehensive guide) │ ├── 01-ssh-brute-force/ │ │ ├── incident-report.md │ │ └── screenshots/ │ ├── 02-privilege-escalation/ │ ├── 03-malware-persistence/ │ ├── 04-data-exfiltration/ │ ├── 05-persistence-cron/ │ └── detection-rules/ │ └── (Wazuh rule examples) ├── screenshots/ │ ├── wazuh-dashboard.png │ ├── agent-status.png │ ├── alert-example.png │ └── incident-timeline.png └── lab-setup/ ├── installation-guide.md └── architecture-diagram.md ``` ## 🎯 MITRE ATT&CK 覆盖范围 本实验室系统地涵盖了多种攻击技术： | 战术 | 技术 | 攻击场景 | |--------|-----------|-----------------| | **凭证访问** | T1110.001 (暴力破解) | SSH 暴力破解 | | **权限提升** | T1548.004 (Sudo/Sudo 缓存) | 权限提升 | | **持久化** | T1053.005 (计划任务) | 恶意软件持久化 | | **持久化** | T1053.006 (Cron) | Cron 后门 | | **收集** | T1005 (来自本地系统的数据) | 数据窃取 | | **窃取** | T1041 (通过 C2 通道窃取) | 归档暂存 | ## 🔍 检测漏洞分析 ### 为什么有 2 次攻击未被检测到 这不是失败——而是深刻的见解。 **攻击 3（计划任务）：** - Windows 事件 ID 4698 需要显式转发 - 许多组织未进行此配置 - 修复：在 Wazuh 中启用事件日志订阅 **攻击 4（数据窃取）：** - 文件完整性监控 (FIM) 默认排除了 /tmp/ - 用户家目录通常未受监控 - 修复：扩大 FIM 监控范围 **对 SOC 分析师的重要性：** - 现实世界中的 SIEM 部署存在漏洞 - 了解漏洞*为何*存在非常有价值 - 知道如何修复至关重要 - 同时展示检测成功与检测漏洞体现了成熟度 ## 💡 关键洞察 ### 本实验室证明了什么 ✅ **正确的 SIEM 配置有效** — 3 次攻击在 <5 秒的延迟下被检测到 ✅ **配置漏洞很常见** — 2 次攻击因默认设置而漏报 ✅ **检测是可调优的** — 所有漏洞都有具体的解决方案 ✅ **日志分析需要专业知识** — 了解监控*什么*很重要 ### 面试讨论点 ## 📋 入门指南 ### 对于安全专业人士 1. 阅读 [第二阶段综合指南](phase2-attack-scenarios/README.md) 2. 按顺序查看事件报告 1-5 3. 研究检测分析和漏洞 4. 参考修复时间表 ### 对于面试准备 1. 了解所有 5 个攻击场景 2. 知道为什么检测到了 3 个而漏报了 2 个 3. 能够讨论检测漏洞的修复方案 4. 准备解释 MITRE ATT&CK 关联 ### 对于进一步开发 - 实施推荐的检测规则改进 - 部署 Sysmon 以增强进程监控 - 添加 EDR 解决方案以进行行为检测 - 测试自动响应功能 ## 🎓 合规性映射 **成功检测到的攻击：** - ✅ NIST 800-53 SI-4 (信息系统监控) - ✅ PCI-DSS 10.2.5 (对持卡人数据访问的监控) - ✅ HIPAA 164.312.b (审计控制) **检测漏洞（需要修复）：** - ❌ NIST 800-53 AU-2 (审计事件) — 计划任务日志记录 - ❌ PCI-DSS 10.2.1 (实施日志记录) — 文件监控漏洞 - ❌ HIPAA 164.308(a)(5)(ii)(C) — 全面事件收集 ## 🚀 部署细节 **管理端：** - 运行于 Ubuntu 22.04 的 Wazuh v4.14.5 - 通过 OVA 部署 (4GB RAM) - agent 已注册并完成身份验证 **Windows Agent：** - Windows 10 企业版评估版 - Wazuh Agent ID: 001 - 已连接并发送日志 **Linux Agent：** - Kali Linux - Wazuh Agent ID: 004 - 双重角色：攻击者和监控目标 ## 📊 实验室统计数据 | 指标 | 数值 | |--------|-------| | 攻击场景 | 5 | | 检测成功率 | 60% (3/5) | | 检测延迟 | <5 秒 | | 事件报告 | 5 | | 总分析 | 专业文档 | | 实验室运行时间 | 4+ 小时 | ## 🔗 相关项目 **在同一 GitHub 上：** - **network-anomaly-detection-unsw-nb15** — 基于机器学习的入侵检测方法 (MIT516) - **clamav-malware-detection-lab** — 防病毒与恶意软件分析 - **phishing-attack-lab-kit** — 社会工程与钓鱼模拟 - **social-engineering-awareness-lab** — 人员安全测试 ## 💼 致招聘人员与招聘经理 本仓库展示了： ✅ **实用的 SOC 运营** — 真实的 SIEM 管理与监控 ✅ **事件响应成熟度** — 专业的文档与分析 ✅ **检测工程** — 了解优势与漏洞 ✅ **威胁情报** — MITRE ATT&CK 框架的应用 ✅ **合规知识** — 对 NIST, PCI-DSS, HIPAA, GDPR 的理解 ✅ **问题解决** — 问题识别与具体修复方案 ✅ **攻防兼备** — 了解攻击者和防御者的视角 **适合的职位：** - SOC 分析师 (Tier 1-2) - 检测工程师 - 安全运营分析师 - 威胁检测工程师 - 初级 SIEM 管理员 ## 📖 如何使用本仓库 **按此顺序阅读：** 1. 本 README（概述） 2. [第二阶段指南](phase2-attack-scenarios/README.md)（详细背景） 3. 单独的事件报告 (1-5) 4. 检测规则目录 **对于每份事件报告，请查看：** - 执行摘要 - 攻击时间线 - 检测分析 - 修复建议 ## ✨ 亮点 **本实验室的价值所在：** 1. **真实攻击，而非模拟** — 真实的攻击工具和技术 2. **专业文档** — 适用于合规性的事件报告 3. **坦诚面对漏洞** — 展示*不成功*的内容比隐藏它更有价值 4. **可操作的修复方案** — 不仅是识别问题，更是解决问题 5. **注重合规性** — 映射到行业框架 6. **与 MITRE ATT&CK 对齐** — 现代威胁框架的关联 ## 📧 问题或反馈 如有关于实验室设置、攻击场景或检测工程的问题： - 查看每个场景目录中的综合指南 - 检查事件报告中的修复部分 - 参考检测规则建议 ## 📜 许可证 MIT 许可证 — 请查看 LICENSE 文件 **创建日期：** 2026 年 6 月 27 日 **状态：** ✅ 可用于作品集的成品内容 **适用于：** - 求职 (SOC/检测相关职位) - 面试准备 - 作品集展示 - 进一步的安全研究 - 家庭实验室参考

标签：AI合规, CIDR输入, Wazuh, 安全实验环境, 安全运营, 库, 应急响应, 扫描框架, 管理员页面发现