aishabanuu/wazuh-soc-lab

GitHub: aishabanuu/wazuh-soc-lab

基于 Wazuh SIEM 的端到端安全运营中心实验室,模拟真实 SOC 环境中的威胁检测、事件调查和威胁狩猎工作流。

Stars: 0 | Forks: 0

# Wazuh SOC 实验室 – 端到端安全运营中心模拟 一个使用 **Wazuh SIEM** 构建的完整**安全运营中心 (SOC)** 实验室,用于模拟真实世界中的安全监控、日志分析、威胁检测、事件调查和威胁狩猎。 本项目展示了 **Tier 1 SOC 分析师**的职责,包括收集终端日志、监控安全事件、调查告警、关联事件以及记录发现。 # 项目概述 组织每天持续生成数千个安全事件。安全运营中心 (SOC) 依赖安全信息和事件管理 (SIEM) 平台来集中管理日志、检测可疑活动并调查事件。 本项目使用 Wazuh 实现了一个小型的 SOC 环境,其中受监控的 Linux 终端会生成安全事件,并通过 Wazuh Dashboard 进行收集、分析和调查。 该实验室演示了几种常见的 SOC 工作流程,包括: - 集中式日志收集 - 安全监控 - 告警生成 - 身份验证监控 - 威胁检测 - 威胁狩猎 - 事件调查 - 安全报告 # 目标 - 部署功能完备的 Wazuh SOC 环境 - 配置终端监控 - 收集 Linux 身份验证和系统日志 - 检测可疑活动 - 调查安全告警 - 执行威胁狩猎 - 分析 Linux 安全事件 - 通过事件报告记录发现 # 实验环境 | 组件 | 技术 | |-----------|------------| | 宿主机 | macOS | | Hypervisor | VMware Fusion | | SIEM 平台 | Wazuh | | Wazuh Manager | Ubuntu Server | | Dashboard | Wazuh Dashboard | | 终端 | Kali Linux | | 终端 Agent | Wazuh Agent | # 架构 ``` macOS Host VMware Fusion │ ┌────────────────┴────────────────┐ │ │ ▼ ▼ +----------------------+ +----------------------+ | Ubuntu Server | | Kali Linux | |----------------------| |----------------------| | Wazuh Manager |<----->| Wazuh Agent | | Wazuh Dashboard | Logs | Security Events | | Wazuh Indexer | | Attack Simulation | +----------------------+ +----------------------+ ``` # SOC 工作流程 ``` User Activity ↓ Endpoint Logs Generated ↓ Wazuh Agent ↓ Wazuh Manager ↓ Indexer ↓ Dashboard ↓ Alert Investigation ↓ Threat Hunting ↓ Incident Report ``` # 使用的技术 - Wazuh SIEM - Ubuntu Server - Kali Linux - VMware Fusion - Linux - SSH - Hydra - AppArmor - OpenSearch Dashboard - Linux PAM - Syslog - MITRE ATT&CK 框架 # 执行的安全场景 | 场景 | 描述 | 状态 | |----------|-------------|--------| | Agent 注册 | 将 Kali 终端连接到 Wazuh Manager | ✅ | | 日志收集 | 监控 Linux 身份验证和系统日志 | ✅ | | SSH 监控 | 生成 SSH 登录事件 | ✅ | | 暴力破解模拟 | 使用 Hydra 模拟重复的 SSH 登录尝试 | ✅ | | 权限提升 | 生成 sudo 活动 | ✅ | | PAM 监控 | 监控登录会话 | ✅ | | AppArmor 调查 | 调查 AppArmor DENIED 告警 | ✅ | | 威胁狩猎 | 使用 Wazuh 查询调查安全事件 | ✅ | | 事件调查 | 关联收集到的事件 | ✅ | # 观察到的安全事件 - SSH 身份验证 - PAM 登录会话 - 成功通过 sudo 提权至 ROOT - 身份验证日志 - Linux 系统日志 - AppArmor DENIED 事件 - 安全事件关联 - Linux 审计事件 # 威胁狩猎 本实验室期间执行的威胁狩猎活动包括: - 身份验证事件分析 - 登录会话监控 - 权限提升调查 - AppArmor 告警调查 - 事件时间线分析 - 终端活动审查 - 规则严重性分析 - 告警关联 # 项目结构 ``` wazuh-soc-lab/ │ ├── README.md ├── LICENSE │ ├── architecture/ │ ├── architecture.png │ └── network-diagram.drawio │ ├── screenshots/ │ ├── configs/ │ ├── scenarios/ │ ├── reports/ │ └── docs/ ``` # MITRE ATT&CK 映射 | 技术 | 描述 | |------------|-------------| | T1078 | 有效账户 | | T1548 | 滥用权限提升控制机制 | | T1059 | 命令和脚本解释器 | | T1021 | 远程服务 | | T1110 | 暴力破解 | # 展示的技能 - SIEM 管理 - 安全监控 - 威胁检测 - 威胁狩猎 - 事件响应 - 日志分析 - Linux 安全 - 身份验证监控 - 权限提升调查 - 安全事件关联 - Wazuh 管理 - MITRE ATT&CK 映射 # 事件调查摘要 在实验室期间,故意生成并调查了多个安全事件,以模拟 SOC 环境。 调查包括: - 身份验证监控 - 登录会话追踪 - 权限提升分析 - AppArmor 策略违规 - 事件关联 - 威胁狩猎 所有告警均通过 Wazuh Dashboard 进行了分析,以了解事件序列并验证终端监控的有效性。 # 主要学习成果 - 使用 Wazuh 构建了端到端的 SOC 环境。 - 配置并监控了 Linux 终端。 - 生成并分析了身份验证事件。 - 调查了 Linux 安全告警。 - 使用 SIEM 仪表板执行了威胁狩猎。 - 以结构化的方式记录了安全发现。 - 获得了关于 SOC 工作流程和安全监控的实践经验。 # 未来改进 - 使用 EICAR 进行恶意软件检测 - 文件完整性监控 (FIM) - VirusTotal 集成 - YARA 规则集成 - 主动响应自动化 - 邮件告警 - Windows 终端监控 - Sysmon 集成 - Sigma 规则检测 # 作者 **Aisha** 有志成为 SOC 分析师 | 安全分析师 | 网络安全爱好者
标签:AMSI绕过, Wazuh, 威胁检测, 安全实验环境, 安全运营中心, 日志收集, 红队行动, 网络映射