cyberforpeacee/wazuh-siem-home-lab

GitHub: cyberforpeacee/wazuh-siem-home-lab

一个基于 Wazuh 的 SIEM 家庭实验室项目,提供从架构搭建到端点监控、日志收集与安全事件分析的完整实践文档。

Stars: 0 | Forks: 0

# 🛡️ Wazuh SIEM 家庭实验室 ## 📌 概述 本仓库记录了我亲手搭建的 Wazuh SIEM 家庭实验室,旨在获得关于安全监控、集中式日志管理和威胁检测的实践经验。 我不想仅仅通过理论来学习 SIEM 概念,而是希望在自己的虚拟环境中部署 Wazuh,连接多个 endpoint,并了解在真实的实验室中是如何收集、分析和调查安全事件的。 本仓库中的文档涵盖了实验室架构、安装过程、配置步骤、截图、故障排除笔记,以及我在构建该环境时学到的经验。 ## 📋 项目信息 | 类别 | 详情 | |----------|----------| | **项目名称** | Wazuh SIEM 家庭实验室 | | **项目类型** | 网络安全家庭实验室 | | **状态** | ✅ 已完成 | | **平台** | VirtualBox | | **主操作系统** | Kali Purple | | **专注领域** | SIEM、日志管理、Endpoint 监控、威胁检测 | ## 🎯 目标 该实验室的主要目标是: - 从零开始构建一个功能完备的 Wazuh SIEM 环境。 - 获得关于集中式日志收集的实践经验。 - 监控 Windows 和 Linux endpoint。 - 了解安全事件是如何生成和分析的。 - 探索 Wazuh 仪表板、规则和告警。 - 在受控环境中练习调查安全事件。 - 加深对安全运营中心 (SOC) 工作流程的理解。 ## 使用的技术 - **Wazuh** — 用于集中式监控和告警的 SIEM 平台 - **Kali Purple** — 用于 Wazuh 部署的宿主操作系统 - **VirtualBox** — 用于构建实验室的虚拟化平台 - **Windows Server 2025** — 受监控的服务器 endpoint / 域控制器角色 - **Windows 11 Enterprise** — 受监控的工作站 endpoint - **Sysmon** — 额外的 endpoint 遥测数据源 - **Linux 管理** — 用于安装、配置和故障排除 # 🏗️ 实验室架构 该实验室是在 VirtualBox 环境中构建的,使用 **Kali Purple** 作为中央安全监控服务器。 Wazuh 平台直接安装在 Kali Purple 虚拟机上。Windows endpoint 配置了 Wazuh agent,并使用 Kali Purple 虚拟机的 IP 地址连接到服务器。 连接后,agent 开始向 Wazuh 服务器发送 endpoint 数据和安全事件,从而允许通过 Wazuh Dashboard 进行集中式日志收集、endpoint 监控和安全事件分析。 建立该实验室是为了获得部署 SIEM 的实践经验,并了解在安全运营中心 (SOC) 中是如何进行安全监控的。 ## 实验室架构 该实验室是在 VirtualBox 环境中构建的,使用 Kali Purple 作为中央 Wazuh 服务器。该环境包含连接到 Wazuh Manager 的受监控 Windows endpoint,用于集中式日志收集、endpoint 可见性和安全事件分析。 ![Wazuh 实验室架构](https://static.pigsec.cn/wp-content/uploads/repos/cas/87/87ef31c39adc3f77cb962b2c33fd6d1d2517e92fb64863bf9740e5d84a973a49.png) ## 使用的虚拟机 | 虚拟机 | 实验室中的角色 | |---|---| | **Kali Purple** | 承载 Wazuh Manager、Wazuh Dashboard 和 Wazuh Indexer | | **Windows Server 2025** | 受监控的服务器 endpoint,用于 agent 可见性和安全监控 | | **Windows 11 Enterprise** | 受监控的 endpoint,向 Wazuh 发送日志和遥测数据 | | **额外的 Windows 11 虚拟机** | 辅助受监控 endpoint,用于扩大 endpoint 覆盖范围 | ## 截图 ### Wazuh Dashboard 概览 ![Wazuh Dashboard 概览](https://static.pigsec.cn/wp-content/uploads/repos/cas/ec/ecc316a8978b37c3d8738d69655441e8f5ad407255dbb9ab3e7870738f1eeffa.png) ### Agent 仪表板 ![Agent 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/34/34605e1933b829bdd7a1500180b6e2ac7acf261880e5d1e195f773669a59557d.png) ### 安全事件视图 ![安全事件](https://static.pigsec.cn/wp-content/uploads/repos/cas/77/7772ff781faf6a6e6751cf816a8b5450ea7e23f317bdf7c0f7c598a2085fac0e.png) ### Agent 概览 ![Agent 概览](https://static.pigsec.cn/wp-content/uploads/repos/cas/ce/ce73eb1c8bfbe765f9e2d5c98720c320f64feb75d022c0a9acc88b5ee4614bbe.png) # 🎓 展示的技能 通过该项目,我实践并强化了以下技能: - 部署和配置 Wazuh SIEM。 - 安装和管理 Wazuh agent。 - 集中式日志收集。 - Endpoint 监控。 - 基础威胁检测。 - 安全事件调查。 - Linux 服务器管理。 - 使用 VirtualBox 管理虚拟机。 - 编写文档和故障排除。 ## 仓库结构 ``` wazuh-siem-home-lab/ ├── README.md ├── diagrams/ # Lab architecture diagrams ├── screenshots/ # Wazuh dashboard and agent screenshots ├── docs/ # Installation, troubleshooting, and command references └── configs/ # Configuration notes, templates, and lab setup references ```
标签:PB级数据处理, Wazuh, 安全实验环境, 安全运维, 终端监控, 网络安全, 速率限制, 隐私保护