Fomzy-teck/Wazuh-SOC-Lab-RDP-BruteForce
GitHub: Fomzy-teck/Wazuh-SOC-Lab-RDP-BruteForce
基于 Wazuh SIEM 的家庭安全运营实验室,模拟 RDP 暴力破解攻击并完成完整的事件检测、分诊与取证分析。
Stars: 0 | Forks: 0
# 家庭 SOC 实验室:RDP 暴力破解检测与分析
## 项目概述
本项目演示了如何利用 **Wazuh SIEM 平台**部署一个家庭安全运营中心 (SOC) 实验室。目标是通过模拟针对 Windows Server 端点的自动化远程桌面协议 (RDP) 暴力破解攻击来生成实时威胁遥测数据,并执行完整的事件分诊、日志分析以及防御性工程加固建议。
📊 **[点击此处阅读完整的 9 页事件响应报告](./Incident_Response_Report_RDP_Brute_Force.pdf)**
## 实验室架构与组件
* **SIEM 管理节点:** Wazuh SIEM Server(集中式日志摄取与告警)
* **目标端点:** Windows Server(配置了 Wazuh Agent 并启用了日志记录)
* **攻击机:** Kali Linux(利用自动化凭据测试工具)
## 威胁模拟与分诊工作流
1. **攻击阶段:** 使用 **Hydra** 针对 Windows 主机上的默认本地 `Administrator` 账户执行了高速密码猜测攻击。
2. **日志摄取:** 原生捕获 Windows Security Logs 并将其直接传输至 Wazuh 遥测数据流中。
3. **关联与分析:** 调查了跨越两个阶段的按时间顺序排列的事件序列:
* **阶段 1 (03:17:18 UTC):** 14 次以上高密度的身份验证失败泛洪(**Windows Event ID 4625** / Wazuh Rule 60122)。
* **阶段 2 (03:17:21 UTC):** 成功的凭据破解与网络登录(**Windows Event ID 4624** / Wazuh Rule 92657)。
## 展示的核心技能
* **SIEM 工程:** Wazuh 内的日志解析、规则关联以及仪表盘分析。
* **事件分诊:** 取证时间轴构建、遥测跟踪与事件映射。
* **防御加固:** Wazuh Active Response、网络级别身份验证 (NLA)、组策略账户锁定策略以及 Sysmon 进程集成的实施计划。
## 详细文档
完整且达到专业汇报标准的技术文档包含了原始遥测 payload、证据映射表以及深度的 MITRE ATT&CK 战术对齐。
👉 在此处查看综合文档:**[Incident_Response_Report_RDP_Brute_Force.pdf](./Incident_Response_Report_RDP_Brute_Force.pdf)**
标签:PE 加载器, PoC, RDP, Wazuh, 安全实验环境, 安全运营, 库, 应急响应, 扫描框架, 暴力破解