guilhermecara/wazuh-siem-lab
GitHub: guilhermecara/wazuh-siem-lab
该项目记录了如何使用 Docker 在本地部署 Wazuh SIEM 环境,用于学习日志采集、端点监控与威胁检测工程。
Stars: 0 | Forks: 0
# SIEM 家庭实验室:使用 Wazuh 进行威胁检测
## 1. 项目概述与目标
首先,该项目的主要目标是部署一个本地的安全信息与事件管理(SIEM)环境,以获得关于日志接入、端点监控和检测工程的实践经验。
其次,我希望保护为我的个人使用提供多个网页和服务的家庭实验室(homelab)。
**使用的技术:**
* **SIEM:** Wazuh(Manager、Indexer、Dashboard)
* **基础设施:** Docker、Docker Compose
* **端点:** Debian(目标机器)
* **攻击工具:** Hydra(或手动 SSH 脚本)
d
## 2. 架构与拓扑
该环境由容器化的 Wazuh 管理平面和作为受监控端点的本地主机组成。

*(注意:在 Excalidraw 或 Draw.io 中创建一个简单的图表,展示你的 Arch 系统通过端口 1514 将日志发送到 Wazuh Docker 容器)*
* **Wazuh Manager(Docker):** 接收并分析日志,将其与规则集进行交叉比对。
* **Wazuh Agent(Debian Linux):** 转发系统日志(`/var/log/auth.log` 或 `journalctl`)并监控文件完整性。
## 3. 部署步骤
### 在管理机器上启动 Wazuh indexer、manager 和 dashboard
我已经拉取了 Wazuh 的官方 Docker 配置文件,并选择使用单节点设置,因为我将只有一台主要机器来监控所有的 agent。
```
git clone https://github.com/wazuh/wazuh-docker.git -b v4.9.0
cd wazuh-docker/single-node
```
根据 Wazuh 的文档,我必须生成 TLS 证书以确保容器之间的通信是*安全*的。值得庆幸的是,Wazuh 已经提供了一个脚本来使该过程自动化。
```
docker-compose -f generate-indexer-certs.yml run --rm generator
```
整个过程结束后,我设法编辑了 docker-compose.yml 以修改 Wazuh 服务的默认密码,因为系统遗留默认密码是导致漏洞最常见的原因之一(根据 OWASP 的说法)。
### 将 Wazuh agent 添加到我的家庭实验室
总体来说这是一个简单的部分,因为 Wazuh agent 非常轻量级,并不需要大量的配置。
尽管如此,我还是遇到了一个相当常见的问题:Wazuh agent 版本和我的 Wazuh manager 版本不匹配。我思考了一会儿才弄清楚,但最终我成功地将 Wazuh agent 回退到了 4.9.0 版本。
关于环境方面,我设置了一个 Tailscale VPN,以确保 manager 和我的端点之间的安全通信。
### 创建一些 Windows 虚拟机
我决定丰富我的 Wazuh 环境,因此我使用 VirtualBox 创建了两台 Windows 虚拟机,作为我环境中两个额外的端点。
主要目标是了解更多关于 Windows 的安全知识。
我将进行模拟和测试。
默认情况下,Wazuh 无法读取 Windows Defender 的日志。因此,我设置了这个功能以进一步集中管理日志。
```
eventchannel
```
## 4. Wazuh 环境中的初步操作
我登录了我的 Wazuh dashboard。
// wazuh dashboard img
标签:Docker, Wazuh, x64dbg, 安全运营, 安全防御评估, 实验环境, 扫描框架, 版权保护, 请求拦截