josiahdanbinta/SOC-Analyst-Labs-Wazuh-SIEM-Deployment
GitHub: josiahdanbinta/SOC-Analyst-Labs-Wazuh-SIEM-Deployment
一个基于 Wazuh 的 SIEM 实验环境项目,演示安全运营中心从部署到威胁检测与事件调查的完整工作流程。
Stars: 0 | Forks: 0
🛡️ Wazuh SIEM 部署实验环境
概述
本项目演示了使用 Wazuh 部署和配置安全信息与事件管理 (SIEM) 平台的过程,用于安全监控、威胁检测和事件调查。
该实验环境模拟了一个真实的安全运营中心 (SOC) 环境,在其中收集、分析和调查安全事件。
🎯 目标
- 部署功能完善的 SIEM 环境
- 配置终端监控
- 收集并分析安全日志
- 创建检测规则
- 调查安全告警
- 实践 SOC 分析师工作流程
🏗️ 实验环境架构
环境
## Wazuh Manager
|
|
| |
Windows 终端 Linux 终端
(Sysmon) (Audit Logs)
🛠️ 使用的技术
技术| 用途
Wazuh| SIEM 与安全监控
Linux| 服务器环境
Windows| 终端监控
Sysmon| 高级事件日志记录
MITRE ATT&CK| 威胁映射
JSON| 日志分析
⚙️ 实施步骤
1. Wazuh 安装
执行的活动:
- 安装 Wazuh Manager
- 配置仪表盘访问
- 验证服务状态
- 连接监控代理
2. 终端集成
配置内容:
- Windows 安全监控
- Linux Audit 监控
- 代理注册
- 日志转发
3. 检测配置
已实现:
- 自定义检测规则
- 告警严重级别调优
- 事件关联
- 威胁识别
🚨 检测场景
可疑身份验证活动
检测:
- 登录失败尝试
- 暴力破解行为
- 异常身份验证模式
恶意软件指标
监控:
- 可疑文件活动
- 已知的入侵指标
- 异常进程
系统变更
检测:
- 权限变更
- 配置修改
- 未经授权的活动
📊 SOC 调查工作流程
1. 告警生成
⬇️
2. 事件分析
⬇️
3. IOC 调查
⬇️
4. 威胁分类
⬇️
5. 事件记录与归档
📁 仓库内容
Wazuh-SIEM-Deployment
├── screenshots
├── configs
├── rules
└── reports
🧠 展现的技能
✅ SIEM 部署
✅ 安全监控
✅ 日志分析
✅ 告警调查
✅ 检测工程
✅ 事件响应
📌 作者
Josiah Danbinta
网络安全分析师 | SOC 分析师
GitHub:
https://github.com/josiahdanbinta
标签:Homebrew安装, Wazuh, 安全运营中心, 实验室环境, 网络映射, 速率限制