BL3IP/wazuh-home-siem

GitHub: BL3IP/wazuh-home-siem

基于 Docker 部署 Wazuh SIEM/XDR 单节点环境,验证 SSH 暴力破解检测规则并记录完整的 SOC 调查流程。

Stars: 0 | Forks: 0

# 01 — 家庭 SIEM (Wazuh) + 调查 一个自建的 **Wazuh** SIEM/XDR(单节点,Docker),包含一个完整的 **SOC 调查**案例,针对 检测到的 SSH 暴力破解攻击。 ## 目标 搭建一个真实的 SIEM,证明其检测引擎能够有效应对攻击者活动,并记录 分析师的调查工作流程 —— 这是蓝队 / SOC 操作的核心。 ## 技术栈 Wazuh **v4.14.5** 单节点:**manager**(检测/关联)+ **indexer**(基于 OpenSearch 的 存储)+ **dashboard**(Web UI)。 ## 精确安装命令 ``` git clone -b v4.14.5 https://github.com/wazuh/wazuh-docker.git cd wazuh-docker\single-node wsl -d docker-desktop sysctl -w vm.max_map_count=262144 # for the indexer docker compose -f generate-indexer-certs.yml run --rm generator # TLS certs docker compose up -d # dashboard at https://localhost (admin / SecretPassword) # 针对 attack log line 测试 detection engine: $line='Jun 28 05:35:00 myhost sshd[2345]: Failed password for invalid user admin from 45.83.122.10 port 4444 ssh2' $line | docker exec -i single-node-wazuh.manager-1 /var/ossec/bin/wazuh-logtest ``` ## 效果验证 **所有 3 个容器均正常运行;dashboard 正常服务(HTTP 302 登录重定向)**([证明](./artifacts/wazuh-deployment.txt)): ``` single-node-wazuh.dashboard-1 Up 0.0.0.0:443->5601 single-node-wazuh.manager-1 Up 1514-1515, 514/udp, 55000 single-node-wazuh.indexer-1 Up 0.0.0.0:9200->9200 ``` **实时检测** —— 输入一条 SSH 暴力破解日志触发了真实的 Wazuh 规则 ([`artifacts/wazuh-logtest.txt`](./artifacts/wazuh-logtest.txt)): ``` id: '5710' level: '5' description: 'sshd: Attempt to login using a non-existent user' groups: [syslog, sshd, authentication_failed, invalid_login] mitre.id: ['T1110.001', 'T1021.004'] ``` 完整的分析师报告见 [`docs/investigation-example.md`](./docs/investigation-example.md)。 ## 截图 见 [`./screenshots/`](./screenshots)。添加内容:Wazuh dashboard(安全事件)、规则 5710 告警,以及 `wazuh-logtest` 的输出。 ## 我的自定义扩展 - 使用 **`wazuh-logtest`**(无需 agent)验证了检测能力 —— 这是一种快速、可复现的规则验证方法,并附带了规则附带的 **MITRE ATT&CK** 映射。 - 完整的 **SOC 调查报告**(分类分级 → 信息补充 → 决策 → 加固),关联了 IOC enricher (10)、threat-intel brief (09)、SOAR auto-contain (19) 和 IR playbook (17)。 - 完整的部署手册,包括证书生成和 OpenSearch 的 `vm.max_map_count` 修复。 ## 简历要点 - 通过 Docker 部署了生产级 **Wazuh SIEM/XDR**(manager + indexer + dashboard),并 针对 SSH 暴力破解攻击验证了其检测引擎(规则 5710,MITRE T1110.001)。 - 为该告警编写了 SOC **调查 playbook**(分类分级、信息补充、遏制、加固)。 - 在概念上将该 SIEM 与 IOC enrichment、threat intel、SOAR 和 IR 项目进行了整合。 ## 进阶想法 - 在终端上注册一个 Wazuh agent 并模拟 3 种攻击(暴力破解、恶意软件投放、持久化)。 - 构建 dashboard 并将告警转发到 SOAR webhook(项目 19)以实现自动遏制。 - 添加自定义 decoder/rule 并调整暴力破解组合规则(规则 5712,级别 10)。 status: ✅ complete & tested ``` ✅ PROJECT COMPLETE & FULLY TESTED in its isolated folder. All works. Ready for portfolio. ```
标签:Docker, Wazuh, 安全防御评估, 版权保护, 请求拦截