BL3IP/wazuh-home-siem
GitHub: BL3IP/wazuh-home-siem
基于 Docker 部署 Wazuh SIEM/XDR 单节点环境,验证 SSH 暴力破解检测规则并记录完整的 SOC 调查流程。
Stars: 0 | Forks: 0
# 01 — 家庭 SIEM (Wazuh) + 调查
一个自建的 **Wazuh** SIEM/XDR(单节点,Docker),包含一个完整的 **SOC 调查**案例,针对
检测到的 SSH 暴力破解攻击。
## 目标
搭建一个真实的 SIEM,证明其检测引擎能够有效应对攻击者活动,并记录
分析师的调查工作流程 —— 这是蓝队 / SOC 操作的核心。
## 技术栈
Wazuh **v4.14.5** 单节点:**manager**(检测/关联)+ **indexer**(基于 OpenSearch 的
存储)+ **dashboard**(Web UI)。
## 精确安装命令
```
git clone -b v4.14.5 https://github.com/wazuh/wazuh-docker.git
cd wazuh-docker\single-node
wsl -d docker-desktop sysctl -w vm.max_map_count=262144 # for the indexer
docker compose -f generate-indexer-certs.yml run --rm generator # TLS certs
docker compose up -d # dashboard at https://localhost (admin / SecretPassword)
# 针对 attack log line 测试 detection engine:
$line='Jun 28 05:35:00 myhost sshd[2345]: Failed password for invalid user admin from 45.83.122.10 port 4444 ssh2'
$line | docker exec -i single-node-wazuh.manager-1 /var/ossec/bin/wazuh-logtest
```
## 效果验证
**所有 3 个容器均正常运行;dashboard 正常服务(HTTP 302 登录重定向)**([证明](./artifacts/wazuh-deployment.txt)):
```
single-node-wazuh.dashboard-1 Up 0.0.0.0:443->5601
single-node-wazuh.manager-1 Up 1514-1515, 514/udp, 55000
single-node-wazuh.indexer-1 Up 0.0.0.0:9200->9200
```
**实时检测** —— 输入一条 SSH 暴力破解日志触发了真实的 Wazuh 规则
([`artifacts/wazuh-logtest.txt`](./artifacts/wazuh-logtest.txt)):
```
id: '5710' level: '5'
description: 'sshd: Attempt to login using a non-existent user'
groups: [syslog, sshd, authentication_failed, invalid_login]
mitre.id: ['T1110.001', 'T1021.004']
```
完整的分析师报告见 [`docs/investigation-example.md`](./docs/investigation-example.md)。
## 截图
见 [`./screenshots/`](./screenshots)。添加内容:Wazuh dashboard(安全事件)、规则 5710
告警,以及 `wazuh-logtest` 的输出。
## 我的自定义扩展
- 使用 **`wazuh-logtest`**(无需 agent)验证了检测能力 —— 这是一种快速、可复现的规则验证方法,并附带了规则附带的 **MITRE ATT&CK** 映射。
- 完整的 **SOC 调查报告**(分类分级 → 信息补充 → 决策 → 加固),关联了
IOC enricher (10)、threat-intel brief (09)、SOAR auto-contain (19) 和 IR playbook (17)。
- 完整的部署手册,包括证书生成和 OpenSearch 的 `vm.max_map_count` 修复。
## 简历要点
- 通过 Docker 部署了生产级 **Wazuh SIEM/XDR**(manager + indexer + dashboard),并
针对 SSH 暴力破解攻击验证了其检测引擎(规则 5710,MITRE T1110.001)。
- 为该告警编写了 SOC **调查 playbook**(分类分级、信息补充、遏制、加固)。
- 在概念上将该 SIEM 与 IOC enrichment、threat intel、SOAR 和 IR 项目进行了整合。
## 进阶想法
- 在终端上注册一个 Wazuh agent 并模拟 3 种攻击(暴力破解、恶意软件投放、持久化)。
- 构建 dashboard 并将告警转发到 SOAR webhook(项目 19)以实现自动遏制。
- 添加自定义 decoder/rule 并调整暴力破解组合规则(规则 5712,级别 10)。
status: ✅ complete & tested
```
✅ PROJECT COMPLETE & FULLY TESTED in its isolated folder. All works. Ready for portfolio.
```
标签:Docker, Wazuh, 安全防御评估, 版权保护, 请求拦截