u-ozor/siem-lab-portfolio
GitHub: u-ozor/siem-lab-portfolio
基于 Proxmox 和 Wazuh 搭建的自托管 SIEM 实验环境,覆盖本地端点与 AWS 云端的攻击模拟与自定义检测规则验证。
Stars: 0 | Forks: 0
# SIEM 家庭实验室
基于裸机 Proxmox 构建的自托管安全监控环境,跨本地和云基础设施进行实时攻击模拟。
## 技术栈
Proxmox VE · Ubuntu Server 22.04 · Windows Server 2022 · Wazuh 4.9 (OpenSearch) · Active Directory · AWS (CloudTrail, S3, IAM) · LVM · KVM
## 构建内容
**基础设施**
- 在旧笔记本上运行裸机 Proxmox hypervisor —— 配置以太网桥接网络,禁用盒盖休眠以实现 7x24 小时正常运行,设置局域网静态 IP
- 利用未分配的磁盘空间,跨两个物理卷扩展了 LVM 存储,未触碰现有的 OS 分区
- 在专用的 Ubuntu 22.04 虚拟机上部署 Wazuh all-in-one(manager + indexer + dashboard)—— 端到端配置了 SSL 证书和 OpenSearch 认证
**端点**
- 在 macOS (Apple Silicon) 上部署 Wazuh agent —— 在仪表板中确认了实时事件流
- 将 Windows Server 2022 虚拟机配置为 Active Directory 域控制器(林 `lab.local`,UEFI/Q35,静态 IP)
- AD 结构:为 IT 管理员、标准用户、服务器、工作站建立了 OU;测试账号 Alice 和 Bob;通过 Default Domain Policy GPO 配置了账号锁定策略
- 在 DC01 上部署 Wazuh agent —— Windows Security Event 日志 pipeline 已激活
**监控**
- 文件完整性监控 (FIM) 监控 macOS 上的系统二进制文件路径 —— 在仪表板中确认了 `/usr/sbin` 目录下的完整性事件
- SCA 运行 CIS Apple macOS 15.0 Sequoia Benchmark —— 识别出未通过的检查项,进行了修复,并通过重新扫描确认了修复结果
- 针对 `wazuh-alerts-*` 索引的 OpenSearch ISM 保留策略 —— 30 天后自动删除
- 对所有触发的规则进行 MITRE ATT&CK 标记以及 PCI DSS / HIPAA / GDPR / NIST 800-53 合规性归因
**AWS 集成**
- CloudTrail trail (`siem-lab-trail`) 记录所有区域的日志并输出到 S3
- 配置 Wazuh `aws-s3` wodle,每 5 分钟从 S3 拉取一次 CloudTrail 日志 —— 端到端确认 pipeline 打通
- 在 `local_rules.xml` 中编写自定义检测规则(规则 100002,level 10,MITRE T1087)—— 将内置的 level 3 CloudTrail 告警提升为优先级 level 10,并带有 MITRE Discovery 标记
## 演示的攻击场景
| 场景 | 技术 | MITRE | 规则 | 等级 |
|---|---|---|---|---|
| SSH 暴力破解 (Mac → Wazuh 虚拟机) | 凭证获取 | T1110 | 2502 | 10 |
| AD 权限提升 —— Bob 被添加到 Domain Admins (事件 ID 4728) | 防御规避、权限提升 | T1484 | 60159 | 12 |
| 账号锁定 —— Bob 在失败登录循环后被锁定 (事件 ID 4740) | — | — | 在 AD (ADUC) 中确认 | — |
| 通过 CLI 进行 AWS IAM 枚举 —— `list-users`, `list-roles`, `get-caller-identity` | 账号发现 | T1087 | 100002 | 10 |
所有告警均在 Wazuh 仪表板中确认,包含完整的 MITRE ATT&CK 战术/技术归因和合规框架标签(PCI DSS、HIPAA、GDPR、NIST 800-53)。
## 截图
| # | 描述 |
|---|---|
| 01 | Wazuh 仪表板 —— 初始确认加载 |
| 02–06 | SSH 暴力破解模拟 —— 告警列表、终端、展开的告警详情(规则 2502,T1110,rhost MAC IP) |
| 07–10 | 修复前后的 SCA —— CIS macOS 15 benchmark,检查项 35022 修复已确认 |
| 11 | Proxmox 物理控制台 —— 裸机启动屏幕 |
| 12 | Wazuh 端点 —— macOS agent 处于活跃状态 |
| 13–14 | Proxmox 虚拟机磁盘和 local-lvm 存储摘要,展示了多 PV 扩展 |
| 15–22 | Windows / AD 阶段 —— DC01 agent 仪表板、PowerShell 攻击模拟、Event 4728 告警详情(T1484,level 12,合规标签)、ADUC 中 Bob 账号锁定、双 agent 概览 |
| 23–32 | AWS 阶段 —— 确认 CloudTrail pipeline、IAM 枚举告警、自定义规则 100002 触发 level 10 (T1087,Discovery) |
| 33 | FIM —— 在仪表板中确认 macOS `/usr/sbin` 完整性事件,规则 550,level 7 |
## 计划扩展
**AWS GuardDuty** —— 基于机器学习 (ML) 的威胁检测,通过 findings feed 集成到 Wazuh 中。GuardDuty 将在 CloudTrail 基于规则的方法之外增加第二层检测:对 API 行为进行异常检测,而不是对特定事件名称进行模式匹配。集成范围已界定并准备就绪;正在等待 AWS 账号激活。
激活后,`siem-lab` 用户的 IAM policy 将从 `ReadOnlyAccess` 缩小到仅限 S3 和 GuardDuty 权限。
标签:AWS CloudTrail, Proxmox, Terraform 安全, Wazuh, x64dbg, 主动目录, 安全运营, 扫描框架