Muskan-p23/SOC-Lab-Using-Wazuh-SIEM

# SOC-Lab-使用-Wazuh-SIEM # 🛡️ 使用 Wazuh SIEM 设计与实现安全运营中心 (SOC) 实验室 这是一个实践性的安全运营中心 (SOC) 实验室，使用 **Wazuh SIEM**、**Docker**、**Sysmon** 和 **Windows 10 虚拟机**构建，旨在模拟真实场景下的安全监控、威胁检测和事件调查。 ## 📖 项目概述 本项目展示了如何使用开源的 Wazuh SIEM 平台部署安全运营中心 (SOC)。该实验室旨在提供以下方面的实践经验： - 安全监控 - 日志收集与分析 - 威胁检测 - 文件完整性监控 (FIM) - 端点监控 - 事件调查 - 自定义检测规则创建 该项目通过生成和调查来自 Windows 端点的安全事件，模拟了真实场景中的 SOC 分析师日常活动。 ## 🎯 项目目标 - 使用 Docker 部署 Wazuh SIEM - 将 Windows 10 配置为受监控的端点 - 集成 Sysmon 以增强事件日志记录 - 使用 Wazuh Dashboard 监控安全事件 - 检测可疑的 PowerShell 和进程活动 - 配置文件完整性监控 (FIM) - 创建并验证自定义 Wazuh 检测规则 - 执行类似勒索软件的活动模拟 - 使用 MITRE ATT&CK Framework 分析警报 ## 🏗️ SOC 实验室架构 ``` Windows 10 VM │ ▼ Wazuh Agent │ ▼ Wazuh Manager │ ▼ Wazuh Indexer │ ▼ Wazuh Dashboard │ ▼ SOC Analyst ``` ## 🛠️ 工具与技术 | 工具 | 用途 | |------|---------| | Wazuh SIEM | 安全监控与日志分析 | | Docker Desktop | 容器化部署 | | Windows 10 VM | 端点监控 | | Sysmon | 高级 Windows 事件日志记录 | | PowerShell | 攻击模拟 | | 文件完整性监控 (FIM) | 文件更改检测 | | OpenSearch Dashboard | 警报可视化 | | MITRE ATT&CK | 威胁映射 | | VirtualBox | 虚拟化 | ## 🔍 执行的安全场景 - ✅ 使用 Docker 部署 Wazuh - ✅ Windows Agent 配置 - ✅ Sysmon 集成 - ✅ 进程创建监控 - ✅ PowerShell 检测 - ✅ Windows 服务创建检测 - ✅ 文件完整性监控 (FIM) - ✅ 自定义检测规则 (Rule ID 100100) - ✅ 类似勒索软件的活动模拟 - ✅ 事件调查与分析 ## 🚨 检测示例 在项目实施期间，成功检测到了以下安全事件： - 进程创建事件 - PowerShell 执行 - Windows 服务创建 - 文件创建与修改 - 文件完整性监控 (Rule ID 554) - 自定义检测规则执行 (Rule ID 100100) - 可疑的端点活动 - 勒索软件模拟警报 ## 🧠 展示的技能 - 安全信息与事件管理 (SIEM) - 安全运营中心 (SOC) - 威胁检测 - 威胁狩猎 - 事件调查 - 日志分析 - Windows 事件监控 - Docker 部署 - 端点安全监控 - MITRE ATT&CK 映射 - 自定义规则开发 - 数字取证基础 ## 📄 项目报告 完整的项目文档可在以下文件中获取： **SOC_Lab_Project_Report.pdf** 报告包含： - 环境搭建 - 安装说明 - 配置指南 - 检测场景 - 事件分析 - 截图 - 结论 - 参考资料 ## 📚 参考资料 - Wazuh 文档 - Docker 文档 - Microsoft Sysmon 文档 - MITRE ATT&CK Framework - Microsoft Windows 安全文档 ## 👩‍💻 作者 **Muskan Paraswani** 网络安全与数字取证理学硕士 先进研究所 (IAR)，甘地讷格尔 ## ⭐ 仓库用途 创建此仓库是作为一个个人网络安全作品集项目，旨在展示在以下方面的实践经验： - 安全运营中心 (SOC) - SIEM 实施 - 威胁检测 - 事件响应 - 数字取证 如果您觉得这个项目有帮助，请考虑给它点个 ⭐。

标签：AI合规, AMSI绕过, Wazuh, 威胁检测, 安全实验环境, 安全运营中心, 网络映射, 请求拦截, 速率限制