Saber386/SIEM_Lab_with_Wazuh
GitHub: Saber386/SIEM_Lab_with_Wazuh
一个使用 Wazuh、Sysmon 和多平台虚拟机构建的家庭 SIEM 实验室,完整记录了企业级安全监控环境的搭建、配置与日志分析实践流程。
Stars: 0 | Forks: 0
# 使用 Wazuh 的 SIEM 实验室
## 概述
本仓库记录了我使用 Wazuh 构建 SIEM(安全信息与事件管理)实验室的历程。本项目的主要目标是获取企业级安全监控、集中化日志管理、事件关联和告警分析方面的实践经验。
该项目重点关注理解 SIEM 平台如何从多个来源收集安全日志、分析事件、生成告警,并提供对组织基础设施安全态势的可见性。
本仓库既是一份学习资源,也是一份使用开源技术构建和管理 SIEM 环境的实践指南。
# 目标
本项目的主要目标是:
* 理解 SIEM(安全信息与事件管理)的基础知识。
* 构建功能完备的 Wazuh SIEM 环境。
* 配置 Windows 和 Linux 终端节点。
* 收集并分析安全日志。
* 理解事件关联和告警生成。
* 探索 Wazuh dashboard 和监控功能。
* 研究操作系统生成的安全事件。
* 培养实用的日志分析技能。
* 记录完整的设置和配置过程。
# 使用的技术
本项目包含以下技术的实际应用:
* Wazuh
* Ubuntu Server
* Windows 11
* Kali Linux
* VirtualBox
* Sysmon
* Windows 事件日志
* Linux 系统日志
* Git
* GitHub
# 仓库结构
```
SIEM-Lab-Wazuh/
│
├── README.md
├── LICENSE
│
├── 01_Introduction/
├── 02_Lab_Setup/
├── 03_Wazuh/
├── 04_Log_Collection/
├── 05_Event_Correlation/
├── 06_Alert_Analysis/
├── 07_Sysmon/
├── 08_CheatSheets/
├── Screenshots/
└── Resources/
```
# 涵盖的主题
本仓库包含以下内容的文档和实际实现:
* SIEM 基础
* Wazuh 架构
* Wazuh 安装
* Agent 配置
* Windows 事件日志记录
* Linux 日志收集
* Sysmon 配置
* 事件关联
* 安全告警分析
* Dashboard 监控
* 日志调查
* 安全监控最佳实践
# 学习成果
完成此项目后,我的目标是培养以下方面的实践技能:
* SIEM 管理
* Wazuh 部署
* 安全监控
* 日志收集
* 事件关联
* 告警调查
* Windows 事件日志记录
* Linux 日志分析
* 企业级安全监控
# 未来规划
该 SIEM 实验室将作为未来网络安全项目的基础,包括:
* SOC 家庭实验室
* 检测工程实验室
* 威胁狩猎实验室
* 事件响应实验室
* 使用 Python 的安全自动化
# 参考资料
整个项目将使用以下资源:
* Wazuh 文档
* Microsoft Learn
* Sysmon 文档
* MITRE ATT&CK 框架
* Sigma HQ
* Elastic 文档
仓库文件结构
```
SIEM-Lab-Wazuh/
│
├── README.md
├── LICENSE
│
├── 01_Introduction/
│ ├── SIEM_Overview.md
│ ├── SIEM_Architecture.md
│ └── SIEM_Workflow.md
│
├── 02_Lab_Setup/
│ ├── Lab_Architecture.md
│ ├── VirtualBox_Setup.md
│ ├── Ubuntu_Server.md
│ ├── Windows_VM.md
│ ├── Kali_Linux.md
│ └── Network_Configuration.md
│
├── 03_Wazuh/
│ ├── Installation.md
│ ├── Wazuh_Manager.md
│ ├── Agent_Installation.md
│ ├── Dashboard.md
│ ├── Rules.md
│ └── Troubleshooting.md
│
├── 04_Log_Collection/
│ ├── Windows_Event_Logs.md
│ ├── Linux_System_Logs.md
│ ├── Sysmon_Logs.md
│ └── Log_Sources.md
│
├── 05_Event_Correlation/
│ ├── Correlation_Rules.md
│ ├── Alert_Generation.md
│ └── Rule_Testing.md
│
├── 06_Alert_Analysis/
│ ├── Alert_Levels.md
│ ├── Alert_Investigation.md
│ ├── False_Positives.md
│ └── Incident_Notes.md
│
├── 07_Sysmon/
│ ├── Installation.md
│ ├── Configuration.md
│ ├── Event_ID_Reference.md
│ └── Sysmon_vs_Windows_Logs.md
│
├── 08_CheatSheets/
│ ├── Wazuh_Commands.md
│ ├── Sysmon_Event_IDs.md
│ ├── Windows_Event_IDs.md
│ └── Linux_Log_Locations.md
│
├── Screenshots/
│ ├── Installation/
│ ├── Dashboard/
│ ├── Alerts/
│ ├── Rules/
│ └── Agents/
│
└── Resources/
├── References.md
├── Useful_Links.md
└── Learning_Roadmap.md
```
# 许可证
本项目基于 MIT 许可证授权。
标签:AMSI绕过, FOFA, PB级数据处理, Wazuh, 威胁检测, 安全实验室, 安全运维, 网络安全研究