josiahdanbinta/SOC-Analyst-Labs-Wazuh-SIEM-Deployment

GitHub: josiahdanbinta/SOC-Analyst-Labs-Wazuh-SIEM-Deployment

一个基于 Wazuh 的 SIEM 实验环境项目,演示安全运营中心从部署到威胁检测与事件调查的完整工作流程。

Stars: 0 | Forks: 0

🛡️ Wazuh SIEM 部署实验环境 概述 本项目演示了使用 Wazuh 部署和配置安全信息与事件管理 (SIEM) 平台的过程,用于安全监控、威胁检测和事件调查。 该实验环境模拟了一个真实的安全运营中心 (SOC) 环境,在其中收集、分析和调查安全事件。 🎯 目标 - 部署功能完善的 SIEM 环境 - 配置终端监控 - 收集并分析安全日志 - 创建检测规则 - 调查安全告警 - 实践 SOC 分析师工作流程 🏗️ 实验环境架构 环境 ## Wazuh Manager | | | | Windows 终端 Linux 终端 (Sysmon) (Audit Logs) 🛠️ 使用的技术 技术| 用途 Wazuh| SIEM 与安全监控 Linux| 服务器环境 Windows| 终端监控 Sysmon| 高级事件日志记录 MITRE ATT&CK| 威胁映射 JSON| 日志分析 ⚙️ 实施步骤 1. Wazuh 安装 执行的活动: - 安装 Wazuh Manager - 配置仪表盘访问 - 验证服务状态 - 连接监控代理 2. 终端集成 配置内容: - Windows 安全监控 - Linux Audit 监控 - 代理注册 - 日志转发 3. 检测配置 已实现: - 自定义检测规则 - 告警严重级别调优 - 事件关联 - 威胁识别 🚨 检测场景 可疑身份验证活动 检测: - 登录失败尝试 - 暴力破解行为 - 异常身份验证模式 恶意软件指标 监控: - 可疑文件活动 - 已知的入侵指标 - 异常进程 系统变更 检测: - 权限变更 - 配置修改 - 未经授权的活动 📊 SOC 调查工作流程 1. 告警生成 ⬇️ 2. 事件分析 ⬇️ 3. IOC 调查 ⬇️ 4. 威胁分类 ⬇️ 5. 事件记录与归档 📁 仓库内容 Wazuh-SIEM-Deployment ├── screenshots ├── configs ├── rules └── reports 🧠 展现的技能 ✅ SIEM 部署 ✅ 安全监控 ✅ 日志分析 ✅ 告警调查 ✅ 检测工程 ✅ 事件响应 📌 作者 Josiah Danbinta 网络安全分析师 | SOC 分析师 GitHub: https://github.com/josiahdanbinta
标签:Homebrew安装, Wazuh, 安全运营中心, 实验室环境, 网络映射, 速率限制