u-ozor/siem-lab-portfolio

GitHub: u-ozor/siem-lab-portfolio

基于 Proxmox 和 Wazuh 搭建的自托管 SIEM 实验环境,覆盖本地端点与 AWS 云端的攻击模拟与自定义检测规则验证。

Stars: 0 | Forks: 0

# SIEM 家庭实验室 基于裸机 Proxmox 构建的自托管安全监控环境,跨本地和云基础设施进行实时攻击模拟。 ## 技术栈 Proxmox VE · Ubuntu Server 22.04 · Windows Server 2022 · Wazuh 4.9 (OpenSearch) · Active Directory · AWS (CloudTrail, S3, IAM) · LVM · KVM ## 构建内容 **基础设施** - 在旧笔记本上运行裸机 Proxmox hypervisor —— 配置以太网桥接网络,禁用盒盖休眠以实现 7x24 小时正常运行,设置局域网静态 IP - 利用未分配的磁盘空间,跨两个物理卷扩展了 LVM 存储,未触碰现有的 OS 分区 - 在专用的 Ubuntu 22.04 虚拟机上部署 Wazuh all-in-one(manager + indexer + dashboard)—— 端到端配置了 SSL 证书和 OpenSearch 认证 **端点** - 在 macOS (Apple Silicon) 上部署 Wazuh agent —— 在仪表板中确认了实时事件流 - 将 Windows Server 2022 虚拟机配置为 Active Directory 域控制器(林 `lab.local`,UEFI/Q35,静态 IP) - AD 结构:为 IT 管理员、标准用户、服务器、工作站建立了 OU;测试账号 Alice 和 Bob;通过 Default Domain Policy GPO 配置了账号锁定策略 - 在 DC01 上部署 Wazuh agent —— Windows Security Event 日志 pipeline 已激活 **监控** - 文件完整性监控 (FIM) 监控 macOS 上的系统二进制文件路径 —— 在仪表板中确认了 `/usr/sbin` 目录下的完整性事件 - SCA 运行 CIS Apple macOS 15.0 Sequoia Benchmark —— 识别出未通过的检查项,进行了修复,并通过重新扫描确认了修复结果 - 针对 `wazuh-alerts-*` 索引的 OpenSearch ISM 保留策略 —— 30 天后自动删除 - 对所有触发的规则进行 MITRE ATT&CK 标记以及 PCI DSS / HIPAA / GDPR / NIST 800-53 合规性归因 **AWS 集成** - CloudTrail trail (`siem-lab-trail`) 记录所有区域的日志并输出到 S3 - 配置 Wazuh `aws-s3` wodle,每 5 分钟从 S3 拉取一次 CloudTrail 日志 —— 端到端确认 pipeline 打通 - 在 `local_rules.xml` 中编写自定义检测规则(规则 100002,level 10,MITRE T1087)—— 将内置的 level 3 CloudTrail 告警提升为优先级 level 10,并带有 MITRE Discovery 标记 ## 演示的攻击场景 | 场景 | 技术 | MITRE | 规则 | 等级 | |---|---|---|---|---| | SSH 暴力破解 (Mac → Wazuh 虚拟机) | 凭证获取 | T1110 | 2502 | 10 | | AD 权限提升 —— Bob 被添加到 Domain Admins (事件 ID 4728) | 防御规避、权限提升 | T1484 | 60159 | 12 | | 账号锁定 —— Bob 在失败登录循环后被锁定 (事件 ID 4740) | — | — | 在 AD (ADUC) 中确认 | — | | 通过 CLI 进行 AWS IAM 枚举 —— `list-users`, `list-roles`, `get-caller-identity` | 账号发现 | T1087 | 100002 | 10 | 所有告警均在 Wazuh 仪表板中确认,包含完整的 MITRE ATT&CK 战术/技术归因和合规框架标签(PCI DSS、HIPAA、GDPR、NIST 800-53)。 ## 截图 | # | 描述 | |---|---| | 01 | Wazuh 仪表板 —— 初始确认加载 | | 02–06 | SSH 暴力破解模拟 —— 告警列表、终端、展开的告警详情(规则 2502,T1110,rhost MAC IP) | | 07–10 | 修复前后的 SCA —— CIS macOS 15 benchmark,检查项 35022 修复已确认 | | 11 | Proxmox 物理控制台 —— 裸机启动屏幕 | | 12 | Wazuh 端点 —— macOS agent 处于活跃状态 | | 13–14 | Proxmox 虚拟机磁盘和 local-lvm 存储摘要,展示了多 PV 扩展 | | 15–22 | Windows / AD 阶段 —— DC01 agent 仪表板、PowerShell 攻击模拟、Event 4728 告警详情(T1484,level 12,合规标签)、ADUC 中 Bob 账号锁定、双 agent 概览 | | 23–32 | AWS 阶段 —— 确认 CloudTrail pipeline、IAM 枚举告警、自定义规则 100002 触发 level 10 (T1087,Discovery) | | 33 | FIM —— 在仪表板中确认 macOS `/usr/sbin` 完整性事件,规则 550,level 7 | ## 计划扩展 **AWS GuardDuty** —— 基于机器学习 (ML) 的威胁检测,通过 findings feed 集成到 Wazuh 中。GuardDuty 将在 CloudTrail 基于规则的方法之外增加第二层检测:对 API 行为进行异常检测,而不是对特定事件名称进行模式匹配。集成范围已界定并准备就绪;正在等待 AWS 账号激活。 激活后,`siem-lab` 用户的 IAM policy 将从 `ReadOnlyAccess` 缩小到仅限 S3 和 GuardDuty 权限。
标签:AWS CloudTrail, Proxmox, Terraform 安全, Wazuh, x64dbg, 主动目录, 安全运营, 扫描框架