RajaeWalker/Wazuh-SIEM-Home-Lab
GitHub: RajaeWalker/Wazuh-SIEM-Home-Lab
该项目记录了基于 Wazuh 和 Sysmon 搭建 SIEM 家庭实验室的完整流程,涵盖部署、遥测采集、检测验证及 MITRE ATT&CK 映射。
Stars: 0 | Forks: 0
# 集成 Sysmon 的 Wazuh SIEM 家庭实验室
## 项目概述
本项目记录了使用 Wazuh 和 Microsoft Sysmon 设计、部署和验证安全信息与事件管理 (SIEM) 家庭实验室的完整过程。该实验室建立在 VMware Workstation 之上,包含一台托管 Wazuh Manager、Indexer 和 Dashboard 的 Ubuntu Server,以及一台配置了 Wazuh Agent 和 Sysmon 的 Windows 11 终端。
该项目的目标是获得部署 SIEM、收集 Windows 安全遥测数据、验证 Wazuh 内置检测以及通过 Wazuh Dashboard 监控安全事件的实践经验。在整个项目中,我配置了 Wazuh Agent 以收集 Sysmon 遥测数据,验证了端到端的事件接入,并对环境进行了记录,以此展示实用的 SOC 分析师技能。
## 目标
- 在 Ubuntu Server 上部署 Wazuh SIEM 环境。
- 在 Windows 11 终端上配置 Wazuh Agent。
- 安装和配置 Microsoft Sysmon 以增强事件日志记录。
- 收集和分析 Windows 安全与 Sysmon 事件。
- 验证 Wazuh 内置检测规则。
- 将检测映射到 MITRE ATT&CK 框架。
- 培养在安全监控、日志分析和 SIEM 管理方面的实用技能。
- 为专业的网络安全作品集记录项目。
## 使用的技术
| 技术 | 用途 |
|------------|---------|
| Wazuh | 安全信息与事件管理 (SIEM) 平台 |
| Ubuntu Server | 托管 Wazuh Manager、Indexer 和 Dashboard |
| Windows 11 | 受监控的终端 |
| Microsoft Sysmon | 增强的 Windows 事件日志记录 |
| Wazuh Agent | 收集终端日志并将其安全地转发至 Wazuh Manager |
| VMware Workstation Pro | 虚拟化平台 |
| ossec.conf | 配置 Wazuh Agent 以收集 Sysmon 事件日志 |
| MITRE ATT&CK 框架 | 威胁分类和映射 |
| GitHub | 项目文档和版本控制 |
## 实验室环境
该实验室建立在 VMware Workstation Pro 中,使用两台通过专用虚拟网络连接的虚拟机。
| 虚拟机 | 操作系统 | IP 地址 | 角色 |
|----------------|------------------|------------|------|
| Wazuh Server | Ubuntu Server | 192.168.74.128 | 托管 Wazuh Manager、Indexer 和 Dashboard |
| Windows Endpoint | Windows 11 | 192.168.74.129 | 生成由 Wazuh Agent 收集的 Windows 和 Sysmon 事件 |
## 架构图
下图展示了 Wazuh SIEM 实验室架构,包括托管 Wazuh 组件的 Ubuntu Server、生成遥测数据的 Windows 11 终端,以及终端与服务器之间的通信流。

## 网络通信
该实验室使用了 Wazuh 的默认通信端口,以安全地注册 Windows 终端、将安全事件转发至 Wazuh 服务器,并提供对 Web Dashboard 的加密访问。
| 端口 | 用途 |
|------|---------|
| TCP 1514 | 将 Windows 事件日志和 Sysmon 事件从 Wazuh Agent 安全地传输到 Wazuh Manager |
| TCP 1515 | 在 agent 注册期间向 Wazuh Manager 注册 Windows 终端 |
| TCP 443 | 提供对 Wazuh Dashboard 的安全 HTTPS 访问,用于监控告警和事件 |
## 实验室工作流
以下工作流说明了在 Wazuh 实验室环境中如何收集、处理和分析安全事件。
### 1. 生成终端活动
Windows 11 终端通过用户活动、应用程序执行、文件创建和系统进程生成正常的操作系统事件。Sysmon 通过记录详细的安全遥测数据(例如进程创建、文件创建、网络连接和注册表修改)扩展了原生的 Windows 日志记录。
### 2. 收集安全事件
Wazuh Agent 同时监控 Windows 事件日志和 Sysmon Operational 日志。这些事件会被实时收集,并准备安全地传输至 Wazuh Manager。
### 3. 安全事件传输
Wazuh Agent 使用 TCP 端口 1514 将收集的事件安全地转发至 Wazuh Manager。在初始部署期间,Windows 终端会在事件收集开始之前通过 TCP 端口 1515 向 Wazuh Manager 进行注册。
### 4. 事件分析
Wazuh Manager 对传入的事件进行标准化,并根据内置的检测规则对其进行评估。匹配的事件会生成包含严重性级别的告警,并在适用时提供 MITRE ATT&CK 技术映射。
### 5. 告警索引
处理后的告警由 Wazuh Indexer 存储,从而支持对安全事件进行快速搜索、过滤和历史分析。
### 6. 安全监控
Wazuh Dashboard 检索已索引的数据,并通过通过 HTTPS (TCP 443) 访问的集中式 Web 界面呈现告警、仪表板、MITRE ATT&CK 映射和终端活动。
### 7. 检测验证
为了验证部署,已成功从 Windows 终端收集 Sysmon 事件并显示在 Wazuh Dashboard 中,确认了 agent、manager、indexer 和 dashboard 均正常运行。
## 验证
以下验证步骤确认了 Wazuh 部署运行正常:
- 验证了 Wazuh Manager、Indexer 和 Dashboard 服务在 Ubuntu Server 上运行。
- 验证了 Wazuh Agent 和 Microsoft Sysmon 服务在 Windows 11 终端上运行。
- 验证了 Windows 11 终端成功向 Wazuh Manager 注册。
- 确认了终端资产清单信息已被收集并显示在 Wazuh Dashboard 中。
- 验证了 Sysmon 进程创建(Event ID 1)事件已成功收集、转发并显示在 Wazuh Dashboard 中。
- 确认了 Wazuh 内置的 Sysmon 检测规则成功生成了 Level 15 告警,证明内置的 Wazuh 告警已显示在 Dashboard 中。
- 验证了 Sysmon 文件创建(Event ID 11)事件已成功接入。
- 验证了与生成的告警相关联的 MITRE ATT&CK 映射。
## 部署验证证据
以下截图记录了 Wazuh SIEM 部署的各个阶段,展示了成功的基础设施验证、终端接入、安全遥测数据收集以及告警生成。
## 阶段 1 – 基础设施验证
在接入终端之前,对核心的 Wazuh 服务进行了验证,以确保 SIEM 基础设施已完全运行。
### Wazuh Manager
**目的:**
验证了 Wazuh Manager 服务在 Ubuntu Server 上处于活动状态并正在运行。

### Wazuh Indexer
**目的:**
验证了 Wazuh Indexer 服务处于活动状态(`active (running)`),确认安全事件可以被索引和存储,以供搜索和分析。

### Wazuh Dashboard
**目的:**
验证了 Wazuh Dashboard 服务处于活动状态(`active (running)`),确认 Web 界面可用于监控和调查。

### Windows 终端服务
**目的:**
验证了 Wazuh Agent (WazuhSvc) 和 Microsoft Sysmon (Sysmon64) 服务均在 Windows 11 终端上运行,确认终端监控已生效。

## 阶段 2 – 终端接入
在确认 SIEM 基础设施运行正常后,Windows 11 终端被成功注册并在 Wazuh 环境中完成验证。
### 活动终端注册
**目的:**
验证了 WIN11-ENDPOINT 已成功向 Wazuh Manager 注册,并作为受监控的活动终端进行通信。

### 终端资产清单
**目的:**
验证了 Wazuh 已成功收集终端资产清单信息,包括操作系统、IP 地址、硬件规格和 agent 元数据。

## 阶段 3 – 检测验证
终端接入后,Sysmon 遥测数据被收集、由 Wazuh 进行分析,并用于生成安全告警。
### Sysmon 进程创建 (Event ID 1)
**目的:**
验证了 Sysmon 事件已成功收集、转发并显示在 Wazuh Dashboard 中。

### Wazuh 检测告警 (Rule ID 92213)
**目的:**
验证了内置的 Wazuh 检测规则在分析 Sysmon 遥测数据后生成了 Level 15 安全告警。

### 检测规则详情与 MITRE ATT&CK 映射
**目的:**
验证了生成的告警包含 Rule ID 92213、严重性级别以及相关的 MITRE ATT&CK 战术和技术,以提供额外的调查上下文。

### Sysmon 文件创建 (Event ID 11)
**目的:**
验证了 Sysmon 文件创建 (Event ID 11) 事件已被 Wazuh 平台成功收集和分析,展示了进程创建事件之外的额外终端遥测数据。


## 经验教训
构建这个 Wazuh SIEM 家庭实验室提供了部署、配置、验证和排除安全信息与事件管理 (SIEM) 解决方案故障的实践经验。在整个项目中,我对如何收集、分析终端遥测数据并将其转化为可操作的安全告警有了更深刻的理解。
获得的主要经验教训包括:
- 部署和验证由 Wazuh Manager、Indexer、Dashboard 和 Windows 11 终端组成的多组件 SIEM 环境。
- 使用 SwiftOnSecurity 配置配置 Microsoft Sysmon,以生成详细的 Windows 安全遥测数据。
- 配置 Wazuh Agent (`ossec.conf`) 以收集 Sysmon Operational 日志并将其转发至 Wazuh Manager。
- 了解从 Sysmon 事件生成、经由 Wazuh Agent、到由 Wazuh Manager 分析并在 Wazuh Dashboard 中可视化的完整遥测 pipeline。
- 使用 Sysmon 进程创建 (Event ID 1) 和文件创建 (Event ID 11) 事件验证终端遥测数据。
- 排除常见的部署问题故障,包括服务可用性、终端连通性、日志收集以及 Wazuh Dashboard 内的事件可见性。
- 强化了对 SIEM 部署的每个阶段进行验证的重要性,而不是想当然地认为服务运行正常。
标签:AMSI绕过, Sysmon, Wazuh, 威胁检测, 安全实验室, 安全运营, 扫描框架