rhenard12/Wazuh-Sysmon-Threat-Hunting-Lab
GitHub: rhenard12/Wazuh-Sysmon-Threat-Hunting-Lab
基于 Wazuh SIEM 与 Microsoft Sysmon 搭建的家庭 SOC 实验室项目,记录了 Windows 端点安全监控部署、故障排查与威胁狩猎的完整实践过程。
Stars: 0 | Forks: 0
# 🛡️ Wazuh-Sysmon-Threat-Hunting-Lab
     
# 📖 概述 本项目展示了如何使用 **Wazuh SIEM**、**Microsoft Sysmon** 和 **Windows Server** 搭建安全运营中心(SOC)家庭实验室。 其目标在于构建一个受监控的 Windows 端点,将安全遥测数据转发至 Wazuh,调查端点事件,排查部署问题,并利用企业级安全监控技术执行基础的威胁狩猎。 与简单的安装指南不同,本仓库记录了完整的部署过程,包括故障排查、配置、调查以及经验总结。 # 🎯 目标 * 部署 Wazuh Manager * 安装 Wazuh Agent * 安装 Microsoft Sysmon * 配置 Windows 事件监控 * 转发端点遥测数据 * 调查安全事件 * 执行威胁狩猎 * 使用 SOC 方法论记录发现 # 🖥️ 实验环境 | 组件 | 技术 | | ------------------- | ------------------- | | SIEM | Wazuh 4.x | | 端点监控 | Microsoft Sysmon | | 操作系统 | Windows Server 2025 | | Wazuh 服务器 | Ubuntu Linux | | 虚拟化 | Oracle VirtualBox | | Shell | Windows PowerShell | # 🏗️ 架构 ``` Internet │ │ ┌────────────────────────────┐ │ Ubuntu Linux │ │ Wazuh Manager │ │ Wazuh Dashboard │ └────────────────────────────┘ │ TCP 1514 / TCP 1515 │ ┌────────────────────────────┐ │ Windows Server 2025 │ │ Wazuh Agent │ │ Microsoft Sysmon │ │ Windows Event Logs │ └────────────────────────────┘ │ Security Telemetry │ Threat Hunting ``` # 🔧 使用的技术 * Wazuh SIEM * Microsoft Sysmon * Windows Server * Ubuntu Linux * Oracle VirtualBox * PowerShell * Windows Event Viewer # 🛡️ 展示的技能 * SIEM 管理 * 端点监控 * Windows 事件日志分析 * Sysmon 部署 * Wazuh Agent 管理 * 威胁狩猎 * 日志分析 * 事件调查 * 故障排查 * 蓝队运营 * Windows Server 管理 * Linux 管理 # 🔍 部署摘要 ### 步骤 1 安装 Ubuntu Server 并部署 Wazuh Manager。 ### 步骤 2 配置 Wazuh Dashboard 并验证可访问性。 ### 步骤 3 安装 Windows Wazuh Agent。 ### 步骤 4 使用 Wazuh Manager 对端点进行身份验证。 ### 步骤 5 安装 Microsoft Sysmon 以增强端点可见性。 ### 步骤 6 验证 Windows 事件收集。 ### 步骤 7 使用 Wazuh dashboards 和安全事件执行威胁狩猎。 # 🚨 故障排查 在部署期间,Windows Wazuh Agent 无法启动。 ### 调查 * 检查 Windows 服务状态 * 审查 PowerShell 输出 * 检查 ossec.log * 审查 ossec.conf * 验证 Agent 注册 * 确认与 Manager 的连接性 ### 根本原因 Wazuh Agent 配置中包含无效的 Manager 地址。 ``` 0.0.0.0 ``` ### 解决方案 * 更新 Wazuh Manager 的 IP 地址 * 重启 Wazuh 服务 * 验证与 SIEM 的成功通信 # 📊 威胁狩猎 审查了以下遥测数据: * Windows 事件日志 * Sysmon 进程创建事件 * Wazuh 告警 * 端点注册 * 安全事件 * 身份验证事件 * Agent 状态 # 📚 MITRE ATT&CK 映射 | ATT&CK 战术 | 技术 | | ------------------- | ----------------------------------------- | | Discovery | T1082 – System Information Discovery | | Execution | T1059 – Command and Scripting Interpreter | | Defense Evasion | T1562 – Impair Defenses | | Command and Control | T1071 – Application Layer Protocol | | Credential Access | T1110 – Brute Force (future lab) | # 📂 仓库结构 ``` Wazuh-Sysmon-Threat-Hunting-Lab │ ├── README.md ├── Incident_Report.md ├── MITRE_ATT&CK.md ├── Troubleshooting.md ├── Lessons_Learned.md │ ├── screenshots │ ├── 01-dashboard.png │ ├── 02-agent-install.png │ ├── 03-agent-registration.png │ ├── 04-sysmon-install.png │ ├── 05-threat-hunting.png │ ├── 06-event-analysis.png │ ├── 07-ossec-log.png │ └── 08-final-dashboard.png │ └── architecture └── architecture-diagram.png ``` # 🎓 经验总结 本次实验室提升了我对以下方面的理解: * Wazuh SIEM 部署 * Windows 端点监控 * Sysmon 事件收集 * Windows 日志分析 * 威胁狩猎工作流 * 端点故障排查 * 安全文档编写 * SOC 分析师方法论 # 🚀 未来改进 * 检测 PowerShell 攻击 * 监控暴力破解登录尝试 * 检测 Nmap 侦察 * 集成 VirusTotal * 创建自定义 Wazuh 检测规则 * 构建事件响应剧本 * 部署额外的 Windows 端点 # ⚠️ 免责声明 本项目是在我拥有和控制的系统上的私人虚拟实验室中完成的。所有活动均出于教育目的以及培养防御性网络安全技能而进行。 # 👨💻 作者 **John Leonard Sta Rita** 有志成为 SOC 分析师,具备以下方面的实践经验: * Wazuh SIEM * Microsoft Sysmon * Windows 安全 * Linux 管理 * 威胁狩猎 * 事件响应 * 蓝队运营标签:AI合规, Sysmon, Wazuh, 安全实验室, 安全运营, 扫描框架