guilhermecara/wazuh-siem-lab

GitHub: guilhermecara/wazuh-siem-lab

该项目记录了如何使用 Docker 在本地部署 Wazuh SIEM 环境,用于学习日志采集、端点监控与威胁检测工程。

Stars: 0 | Forks: 0

# SIEM 家庭实验室:使用 Wazuh 进行威胁检测 ## 1. 项目概述与目标 首先,该项目的主要目标是部署一个本地的安全信息与事件管理(SIEM)环境,以获得关于日志接入、端点监控和检测工程的实践经验。 其次,我希望保护为我的个人使用提供多个网页和服务的家庭实验室(homelab)。 **使用的技术:** * **SIEM:** Wazuh(Manager、Indexer、Dashboard) * **基础设施:** Docker、Docker Compose * **端点:** Debian(目标机器) * **攻击工具:** Hydra(或手动 SSH 脚本) d ## 2. 架构与拓扑 该环境由容器化的 Wazuh 管理平面和作为受监控端点的本地主机组成。 ![架构图](https://raw.githubusercontent.com/guilhermecara/wazuh-siem-lab/main/link-to-your-image.png) *(注意:在 Excalidraw 或 Draw.io 中创建一个简单的图表,展示你的 Arch 系统通过端口 1514 将日志发送到 Wazuh Docker 容器)* * **Wazuh Manager(Docker):** 接收并分析日志,将其与规则集进行交叉比对。 * **Wazuh Agent(Debian Linux):** 转发系统日志(`/var/log/auth.log` 或 `journalctl`)并监控文件完整性。 ## 3. 部署步骤 ### 在管理机器上启动 Wazuh indexer、manager 和 dashboard 我已经拉取了 Wazuh 的官方 Docker 配置文件,并选择使用单节点设置,因为我将只有一台主要机器来监控所有的 agent。 ``` git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.0 cd wazuh-docker/single-node ``` 根据 Wazuh 的文档,我必须生成 TLS 证书以确保容器之间的通信是*安全*的。值得庆幸的是,Wazuh 已经提供了一个脚本来使该过程自动化。 ``` docker-compose -f generate-indexer-certs.yml run --rm generator ``` 整个过程结束后,我设法编辑了 docker-compose.yml 以修改 Wazuh 服务的默认密码,因为系统遗留默认密码是导致漏洞最常见的原因之一(根据 OWASP 的说法)。 ### 将 Wazuh agent 添加到我的家庭实验室 总体来说这是一个简单的部分,因为 Wazuh agent 非常轻量级,并不需要大量的配置。 尽管如此,我还是遇到了一个相当常见的问题:Wazuh agent 版本和我的 Wazuh manager 版本不匹配。我思考了一会儿才弄清楚,但最终我成功地将 Wazuh agent 回退到了 4.9.0 版本。 关于环境方面,我设置了一个 Tailscale VPN,以确保 manager 和我的端点之间的安全通信。 ### 创建一些 Windows 虚拟机 我决定丰富我的 Wazuh 环境,因此我使用 VirtualBox 创建了两台 Windows 虚拟机,作为我环境中两个额外的端点。 主要目标是了解更多关于 Windows 的安全知识。 我将进行模拟和测试。 默认情况下,Wazuh 无法读取 Windows Defender 的日志。因此,我设置了这个功能以进一步集中管理日志。 ``` eventchannel ``` ## 4. Wazuh 环境中的初步操作 我登录了我的 Wazuh dashboard。 // wazuh dashboard img
标签:Docker, Wazuh, x64dbg, 安全运营, 安全防御评估, 实验环境, 扫描框架, 版权保护, 请求拦截