aishabanuu/wazuh-soc-lab
GitHub: aishabanuu/wazuh-soc-lab
基于 Wazuh SIEM 的端到端安全运营中心实验室,模拟真实 SOC 环境中的威胁检测、事件调查和威胁狩猎工作流。
Stars: 0 | Forks: 0
# Wazuh SOC 实验室 – 端到端安全运营中心模拟
一个使用 **Wazuh SIEM** 构建的完整**安全运营中心 (SOC)** 实验室,用于模拟真实世界中的安全监控、日志分析、威胁检测、事件调查和威胁狩猎。
本项目展示了 **Tier 1 SOC 分析师**的职责,包括收集终端日志、监控安全事件、调查告警、关联事件以及记录发现。
# 项目概述
组织每天持续生成数千个安全事件。安全运营中心 (SOC) 依赖安全信息和事件管理 (SIEM) 平台来集中管理日志、检测可疑活动并调查事件。
本项目使用 Wazuh 实现了一个小型的 SOC 环境,其中受监控的 Linux 终端会生成安全事件,并通过 Wazuh Dashboard 进行收集、分析和调查。
该实验室演示了几种常见的 SOC 工作流程,包括:
- 集中式日志收集
- 安全监控
- 告警生成
- 身份验证监控
- 威胁检测
- 威胁狩猎
- 事件调查
- 安全报告
# 目标
- 部署功能完备的 Wazuh SOC 环境
- 配置终端监控
- 收集 Linux 身份验证和系统日志
- 检测可疑活动
- 调查安全告警
- 执行威胁狩猎
- 分析 Linux 安全事件
- 通过事件报告记录发现
# 实验环境
| 组件 | 技术 |
|-----------|------------|
| 宿主机 | macOS |
| Hypervisor | VMware Fusion |
| SIEM 平台 | Wazuh |
| Wazuh Manager | Ubuntu Server |
| Dashboard | Wazuh Dashboard |
| 终端 | Kali Linux |
| 终端 Agent | Wazuh Agent |
# 架构
```
macOS Host
VMware Fusion
│
┌────────────────┴────────────────┐
│ │
▼ ▼
+----------------------+ +----------------------+
| Ubuntu Server | | Kali Linux |
|----------------------| |----------------------|
| Wazuh Manager |<----->| Wazuh Agent |
| Wazuh Dashboard | Logs | Security Events |
| Wazuh Indexer | | Attack Simulation |
+----------------------+ +----------------------+
```
# SOC 工作流程
```
User Activity
↓
Endpoint Logs Generated
↓
Wazuh Agent
↓
Wazuh Manager
↓
Indexer
↓
Dashboard
↓
Alert Investigation
↓
Threat Hunting
↓
Incident Report
```
# 使用的技术
- Wazuh SIEM
- Ubuntu Server
- Kali Linux
- VMware Fusion
- Linux
- SSH
- Hydra
- AppArmor
- OpenSearch Dashboard
- Linux PAM
- Syslog
- MITRE ATT&CK 框架
# 执行的安全场景
| 场景 | 描述 | 状态 |
|----------|-------------|--------|
| Agent 注册 | 将 Kali 终端连接到 Wazuh Manager | ✅ |
| 日志收集 | 监控 Linux 身份验证和系统日志 | ✅ |
| SSH 监控 | 生成 SSH 登录事件 | ✅ |
| 暴力破解模拟 | 使用 Hydra 模拟重复的 SSH 登录尝试 | ✅ |
| 权限提升 | 生成 sudo 活动 | ✅ |
| PAM 监控 | 监控登录会话 | ✅ |
| AppArmor 调查 | 调查 AppArmor DENIED 告警 | ✅ |
| 威胁狩猎 | 使用 Wazuh 查询调查安全事件 | ✅ |
| 事件调查 | 关联收集到的事件 | ✅ |
# 观察到的安全事件
- SSH 身份验证
- PAM 登录会话
- 成功通过 sudo 提权至 ROOT
- 身份验证日志
- Linux 系统日志
- AppArmor DENIED 事件
- 安全事件关联
- Linux 审计事件
# 威胁狩猎
本实验室期间执行的威胁狩猎活动包括:
- 身份验证事件分析
- 登录会话监控
- 权限提升调查
- AppArmor 告警调查
- 事件时间线分析
- 终端活动审查
- 规则严重性分析
- 告警关联
# 项目结构
```
wazuh-soc-lab/
│
├── README.md
├── LICENSE
│
├── architecture/
│ ├── architecture.png
│ └── network-diagram.drawio
│
├── screenshots/
│
├── configs/
│
├── scenarios/
│
├── reports/
│
└── docs/
```
# MITRE ATT&CK 映射
| 技术 | 描述 |
|------------|-------------|
| T1078 | 有效账户 |
| T1548 | 滥用权限提升控制机制 |
| T1059 | 命令和脚本解释器 |
| T1021 | 远程服务 |
| T1110 | 暴力破解 |
# 展示的技能
- SIEM 管理
- 安全监控
- 威胁检测
- 威胁狩猎
- 事件响应
- 日志分析
- Linux 安全
- 身份验证监控
- 权限提升调查
- 安全事件关联
- Wazuh 管理
- MITRE ATT&CK 映射
# 事件调查摘要
在实验室期间,故意生成并调查了多个安全事件,以模拟 SOC 环境。
调查包括:
- 身份验证监控
- 登录会话追踪
- 权限提升分析
- AppArmor 策略违规
- 事件关联
- 威胁狩猎
所有告警均通过 Wazuh Dashboard 进行了分析,以了解事件序列并验证终端监控的有效性。
# 主要学习成果
- 使用 Wazuh 构建了端到端的 SOC 环境。
- 配置并监控了 Linux 终端。
- 生成并分析了身份验证事件。
- 调查了 Linux 安全告警。
- 使用 SIEM 仪表板执行了威胁狩猎。
- 以结构化的方式记录了安全发现。
- 获得了关于 SOC 工作流程和安全监控的实践经验。
# 未来改进
- 使用 EICAR 进行恶意软件检测
- 文件完整性监控 (FIM)
- VirusTotal 集成
- YARA 规则集成
- 主动响应自动化
- 邮件告警
- Windows 终端监控
- Sysmon 集成
- Sigma 规则检测
# 作者
**Aisha**
有志成为 SOC 分析师 | 安全分析师 | 网络安全爱好者
标签:AMSI绕过, Wazuh, 威胁检测, 安全实验环境, 安全运营中心, 日志收集, 红队行动, 网络映射