NATTOMR/Design-and-Implementation-of-a-Wazuh-Based-SOC-Home-Lab-for-Attack-Detection-and-Log-Analysis
GitHub: NATTOMR/Design-and-Implementation-of-a-Wazuh-Based-SOC-Home-Lab-for-Attack-Detection-and-Log-Analysis
基于 Wazuh SIEM 平台构建的 SOC 家庭实验室项目,用于在虚拟环境中模拟网络攻击、检测恶意活动并进行安全事件日志分析。
Stars: 0 | Forks: 0
# 🛡️ 基于 Wazuh 的攻击检测与日志分析 SOC 家庭实验室设计与实现





## 📖 项目概述
本项目演示了使用 **Wazuh SIEM 平台** 设计和实现安全运营中心 (SOC) 家庭实验室的过程。该实验室在受控的虚拟环境中模拟了真实世界的网络攻击和安全监控。
环境包括:
- 🖥️ 运行 Wazuh Manager 的 Ubuntu Server
- 💻 配备 Sysmon 和 Wazuh Agent 的 Windows 11 端点
- 🐉 Kali Linux 攻击机
目标是通过 Wazuh Dashboard 检测恶意活动、收集安全事件、分析日志并生成告警。
# 🎯 目标
- 部署完整的 Wazuh SIEM 环境
- 监控 Windows 端点活动
- 检测网络侦察
- 检测暴力破解攻击
- 检测可疑的 PowerShell 执行
- 收集 Sysmon 遥测数据
- 创建专业的 SOC 家庭实验室
- 记录整个部署过程
# 🏗️ 实验室架构
```
Internet
│
VirtualBox NAT Network
│
┌─────────────────┼─────────────────┐
│ │ │
│ │ │
Ubuntu Server Windows 11 Kali Linux
(Wazuh Server) (Victim) (Attacker)
│ │ │
│ │ │
└──────────── Wazuh Agent ──────────┘
Security Logs
│
Wazuh Manager
│
Wazuh Dashboard
```
# 💻 虚拟机
| 机器 | 操作系统 | 用途 |
|----------|------------------|---------|
| Wazuh Server | Ubuntu Server 24.04 LTS | SIEM 平台 |
| Windows 端点 | Windows 11 Pro | 受害者机器 |
| 攻击机 | Kali Linux | 攻击模拟 |
# 🛠️ 使用的技术
## 操作系统
- Ubuntu Server 24.04 LTS
- Windows 11 Pro
- Kali Linux
## 安全工具
- Wazuh
- Sysmon
- Windows Event Logs
- Filebeat
- OpenSearch
- Wazuh Dashboard
## 进攻性安全
- Nmap
- Hydra
- Netcat
- Metasploit
- CrackMapExec(可选)
## 网络
- VirtualBox
- NAT Network
# 📂 仓库结构
```
.
├── README.md
├── LICENSE
├── .gitignore
├── docs/
├── configs/
├── detection/
├── kali/
├── windows11/
├── wazuh/
├── screenshots/
└── reports/
```
# 📚 文档
| 文档 | 描述 |
|----------|-------------|
| docs/Wazuh-Installation.md | 完整的 Wazuh 安装说明 |
| docs/Architecture.md | 实验室架构 |
| docs/Windows11-Agent.md | Windows Agent 安装 |
| docs/Kali-Attack-Simulation.md | 攻击模拟 |
| docs/Sysmon-Configuration.md | Sysmon 部署 |
| docs/Detection-Rules.md | 检测规则 |
| docs/Troubleshooting.md | 常见问题 |
# 🔥 攻击模拟
模拟并检测了以下攻击。
- 网络扫描 (Nmap)
- SSH 暴力破解
- RDP 暴力破解
- 登录失败尝试
- PowerShell 执行
- Sysmon 进程创建
- 服务安装
- 注册表修改
- 文件完整性监控
# 📊 检测工作流
```
Attack
│
▼
Windows Event Logs
│
Sysmon
│
Wazuh Agent
│
Wazuh Manager
│
Rules Engine
│
Alert Generation
│
Dashboard
```
# 📸 截图
完整的截图可在以下位置找到
```
screenshots/
```
示例截图包括
- Wazuh Dashboard
- Agent 注册
- Nmap 检测
- Sysmon 事件
- 告警 Dashboard
- 安全概述
# 🚀 安装指南
详细的安装说明可在以下位置找到
```
docs/Wazuh-Installation.md
```
# 📑 项目报告
完整的项目报告可在以下位置找到
```
reports/Final_Report.pdf
```
# 👨💻 作者
**Natto Muni Chakma**
B.Tech 计算机科学与工程
Andhra University College of Engineering
专业方向:
- 网络安全
- 安全运营中心 (SOC)
- 威胁检测
- 数字取证
GitHub:
https://github.com/NATTOMR
# ⭐ 未来改进
- 集成 Suricata IDS
- 集成 VirusTotal API
- YARA 规则检测
- Sigma 规则集成
- MITRE ATT&CK 映射
- TheHive 集成
- Shuffle SOAR 自动化
# 📜 许可证
本项目基于 MIT License 授权。
标签:CTI, Wazuh, 安全运营中心, 实验室环境, 插件系统, 红队行动, 网络映射