JeanPalacios-git/enterprise-siem-lab

GitHub: JeanPalacios-git/enterprise-siem-lab

基于 Wazuh 4.13.1 的混合企业级 SIEM 实验室,集中监控 Windows 和 Linux 端点的安全事件并映射 MITRE ATT&CK 框架。

Stars: 0 | Forks: 0

# 企业级 SIEM 实验室(基于 Wazuh) ![Ubuntu](https://img.shields.io/badge/Ubuntu-24.04-E95420?style=flat&logo=ubuntu) ![Windows Server](https://img.shields.io/badge/Windows%20Server-2022-0078D4?style=flat&logo=windows) ![Windows 11](https://img.shields.io/badge/Windows-11-0078D4?style=flat&logo=windows) ![Wazuh](https://img.shields.io/badge/Wazuh-4.13.1-026EF7?style=flat) ![Sysmon](https://img.shields.io/badge/Sysmon-v15+-2C5AA0?style=flat) ![PowerShell](https://img.shields.io/badge/PowerShell-5.1+-5391FE?style=flat&logo=powershell) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red?style=flat) ## 项目概述 本项目演示了如何使用 **Wazuh 4.13.1** 部署混合企业级 SIEM 环境,从集中式平台监控 Windows 和 Linux 端点。 该实验室结合了 Microsoft Active Directory、Windows 安全事件、Sysmon、Linux auditd、文件完整性监控(FIM)、安全配置评估(SCA)、PowerShell 日志记录和 MITRE ATT&CK 映射,以模拟真实的 SOC 环境。 ## 实验室架构 ![实验室架构](https://static.pigsec.cn/wp-content/uploads/repos/cas/37/37589499e8edb68d9234492a0c69003fafa03c3643f4cf127ea2c0799864d51f.png) ### 基础设施 主机 操作系统 角色 JeanPc Windows 11 Pro 管理 主机 + Wazuh Agent DC01 Windows Server 2022 Active Directory 域 控制器 linux-01 Ubuntu Server 24.04 LTS Linux 端点 + auditd ## wazuh-server Ubuntu Server 24.04 LTS Wazuh Manager, Indexer 和 Dashboard ## 技术 - Wazuh 4.13.1 - Windows Server 2022 - Windows 11 Pro - Ubuntu Server 24.04 LTS - Active Directory Domain Services - Sysmon - auditd - PowerShell - MITRE ATT&CK ## 检测能力 ### Windows - 成功登录 (4624) - 失败登录 (4625) - 创建用户账户 (4720) - 用户加入安全组 (4728) - Sysmon 进程创建 (Event ID 1) - 文件完整性监控 - PowerShell 日志记录 ### Linux - auditd 监控 - sudo 活动 - 命令执行 - 用户管理 - 文件完整性监控 ## MITRE ATT&CK 映射 事件 技术 4624 T1078 -- Valid Accounts 4625 T1110 -- Brute Force 4720 T1136 -- Create Account 4728 T1098 -- Account Manipulation Sysmon Event ID 1 T1059 -- Command and Scripting Interpreter ## 验证操作手册 验证项目 结果 Agent 连通性 ✅ Windows 安全事件 ✅ Sysmon 遥测数据 ✅ Linux auditd ✅ Active Directory 审计 ✅ 成功登录 (4624) ✅ 失败登录 (4625) ✅ 创建用户账户 (4720) ✅ 组成员身份变更 (4728) ✅ ## 验证证据 以下场景已成功生成,并通过 Wazuh Dashboard 完成验证: - Windows 成功身份验证 - Windows 失败身份验证 - Active Directory 用户创建 - Active Directory 组成员身份修改 - Sysmon 进程创建 - Linux auditd 命令执行 - 端点连通性验证 ## 截图 ### 已连接的 Wazuh Agent ![已连接的 Agent](https://static.pigsec.cn/wp-content/uploads/repos/cas/ee/ee6f2b422254a1560aef41569639391f45ffe8bed20f3789a0d55158c4972d0e.png) ### Sysmon 进程创建 ![Sysmon](https://static.pigsec.cn/wp-content/uploads/repos/cas/21/21a4755c3d7e823dc7707c1dddbce81b50ab54e9f2eadfd7d968e3be28ca909a.png) ### Windows 安全监控 ![Windows 安全事件](https://static.pigsec.cn/wp-content/uploads/repos/cas/95/95e0208974e8afa14d161eeea2e5b8ebc1034e5fa1c5c4ccda41751ad5c0e8b2.png) ### Linux auditd 监控 ![Linux auditd](https://static.pigsec.cn/wp-content/uploads/repos/cas/72/7288d2e792e8042ec0f22cb91063c55d00ee971f2a3c0371f470c1578a472c4f.png) ## 展示技能 - 企业级 SIEM 部署 - Wazuh 管理 - Active Directory 监控 - Windows 事件分析 - Linux 安全监控 - Sysmon 配置 - auditd 配置 - 端点遥测数据收集 - MITRE ATT&CK 映射 - 日志分析 - 安全事件关联 - 事件调查 - 技术文档编写 - 故障排除 ## 经验总结 - 构建 SIEM 仅仅是第一步;验证遥测数据同样重要。 - 与仅使用原生 Windows 日志相比,Sysmon 提供了显著更丰富的端点可见性。 - 结合 Windows 和 Linux 遥测数据可提升调查能力。 - 准确的文档和可重复的验证流程能够提升安全实验室的价值。 ## 未来改进 - 自定义 Wazuh 检测规则 - Sigma 规则集成 - 添加更多 Windows 和 Linux 端点 - 威胁狩猎 Dashboard - 主动响应自动化 ## 简历表述 设计、部署并记录了基于 Wazuh 4.13.1 的混合企业级 SIEM,集成了 Windows Server 2022 Active Directory、Sysmon、Linux auditd,以及跨多个端点的集中式安全监控。利用符合 MITRE ATT&CK 框架的真实安全场景,验证了身份验证事件、Active Directory 审计、端点遥测数据和 Linux 命令执行。
标签:AI合规, Terraform 安全, Wazuh, x64dbg, 安全运营, 扫描框架, 系统运维