JeanPalacios-git/enterprise-siem-lab
GitHub: JeanPalacios-git/enterprise-siem-lab
基于 Wazuh 4.13.1 的混合企业级 SIEM 实验室,集中监控 Windows 和 Linux 端点的安全事件并映射 MITRE ATT&CK 框架。
Stars: 0 | Forks: 0
# 企业级 SIEM 实验室(基于 Wazuh)







## 项目概述
本项目演示了如何使用 **Wazuh 4.13.1** 部署混合企业级 SIEM 环境,从集中式平台监控 Windows 和 Linux 端点。
该实验室结合了 Microsoft Active Directory、Windows 安全事件、Sysmon、Linux auditd、文件完整性监控(FIM)、安全配置评估(SCA)、PowerShell 日志记录和 MITRE ATT&CK 映射,以模拟真实的 SOC 环境。
## 实验室架构

### 基础设施
主机 操作系统 角色
JeanPc Windows 11 Pro 管理
主机 + Wazuh
Agent
DC01 Windows Server 2022 Active
Directory
域
控制器
linux-01 Ubuntu Server 24.04 LTS Linux
端点 +
auditd
## wazuh-server Ubuntu Server 24.04 LTS Wazuh Manager,
Indexer 和
Dashboard
## 技术
- Wazuh 4.13.1
- Windows Server 2022
- Windows 11 Pro
- Ubuntu Server 24.04 LTS
- Active Directory Domain Services
- Sysmon
- auditd
- PowerShell
- MITRE ATT&CK
## 检测能力
### Windows
- 成功登录 (4624)
- 失败登录 (4625)
- 创建用户账户 (4720)
- 用户加入安全组 (4728)
- Sysmon 进程创建 (Event ID 1)
- 文件完整性监控
- PowerShell 日志记录
### Linux
- auditd 监控
- sudo 活动
- 命令执行
- 用户管理
- 文件完整性监控
## MITRE ATT&CK 映射
事件 技术
4624 T1078 -- Valid Accounts
4625 T1110 -- Brute Force
4720 T1136 -- Create Account
4728 T1098 -- Account Manipulation
Sysmon Event ID 1 T1059 -- Command and Scripting Interpreter
## 验证操作手册
验证项目 结果
Agent 连通性 ✅
Windows 安全事件 ✅
Sysmon 遥测数据 ✅
Linux auditd ✅
Active Directory 审计 ✅
成功登录 (4624) ✅
失败登录 (4625) ✅
创建用户账户 (4720) ✅
组成员身份变更 (4728) ✅
## 验证证据
以下场景已成功生成,并通过 Wazuh Dashboard 完成验证:
- Windows 成功身份验证
- Windows 失败身份验证
- Active Directory 用户创建
- Active Directory 组成员身份修改
- Sysmon 进程创建
- Linux auditd 命令执行
- 端点连通性验证
## 截图
### 已连接的 Wazuh Agent

### Sysmon 进程创建

### Windows 安全监控

### Linux auditd 监控

## 展示技能
- 企业级 SIEM 部署
- Wazuh 管理
- Active Directory 监控
- Windows 事件分析
- Linux 安全监控
- Sysmon 配置
- auditd 配置
- 端点遥测数据收集
- MITRE ATT&CK 映射
- 日志分析
- 安全事件关联
- 事件调查
- 技术文档编写
- 故障排除
## 经验总结
- 构建 SIEM 仅仅是第一步;验证遥测数据同样重要。
- 与仅使用原生 Windows 日志相比,Sysmon 提供了显著更丰富的端点可见性。
- 结合 Windows 和 Linux 遥测数据可提升调查能力。
- 准确的文档和可重复的验证流程能够提升安全实验室的价值。
## 未来改进
- 自定义 Wazuh 检测规则
- Sigma 规则集成
- 添加更多 Windows 和 Linux 端点
- 威胁狩猎 Dashboard
- 主动响应自动化
## 简历表述
设计、部署并记录了基于 Wazuh 4.13.1 的混合企业级 SIEM,集成了 Windows Server 2022 Active Directory、Sysmon、Linux auditd,以及跨多个端点的集中式安全监控。利用符合 MITRE ATT&CK 框架的真实安全场景,验证了身份验证事件、Active Directory 审计、端点遥测数据和 Linux 命令执行。
标签:AI合规, Terraform 安全, Wazuh, x64dbg, 安全运营, 扫描框架, 系统运维