Jobi-bl/home-soc-lab

GitHub: Jobi-bl/home-soc-lab

一个基于 Wazuh、Kali 和 Ubuntu 搭建的家庭 SOC 实验环境,用于安全检测工程的动手实践与学习记录。

Stars: 0 | Forks: 0

# 家庭 SOC 实验环境 我搭建这个实验环境是为了真正学习 SOC 检测的运作方式,而不仅仅是纸上谈兵。我正努力作为入门级 SOC 分析师进入网络安全领域,我认为理解告警、日志和检测规则的最佳方式是建立自己的环境,亲自对其进行攻击,并观察另一端会出现什么情况。 这里的一切都是真实的——没有云捷径,也没有预置的模板。在搭建过程中我遇到了许多实际的问题(防火墙配置错误、注册失败、SSH 速率限制反击我自己的攻击),我也把这些记录了下来,因为排查故障说实话本就是 SOC 分析师工作的一半。 ## 本实验环境包含的内容 - **Wazuh SIEM**(manager + dashboard)—— 这是所有日志汇聚并关联成告警的地方 - **Kali Linux** —— 用作攻击机,生成需要检测的真实流量 - **Ubuntu Server** —— 受监控的终端,运行 Wazuh agent 这三台虚拟机位于同一个桥接网络上,因此它们的行为就像 LAN 上的真实主机,而不是孤立的 NAT 主机。 ## 为什么我这样设置 我最初尝试在 VirtualBox 中使用 Internal Network 模式来保持隔离,但后来切换到了桥接模式,这样机器的行为会更像真实的网段——说实话,这也是因为我之前遇到了一些桥接适配器的问题,我想真正妥善地解决它,而不是一味回避。 ## 目前已完成的工作 ### 1. 连接 agent 这并不是安装完就可以走人那么简单。agent 一直无法向 manager 注册(`Unable to connect to enrollment service`),我仔细翻阅了 `ossec.log` 并使用 `ss -tulnp` 检查了监听端口,以确认 manager 确实是可访问的,之后它才最终连接成功。事实证明,ping 和基本连通性一直都是正常的——它只是需要一个重试周期才能正确完成注册。 ### 2. 针对目标的 Nmap 扫描 从 Kali 发起了一次基本的服务检测扫描: ``` nmap -sV 10.132.159.111 ``` 发现 SSH 处于开放状态,在 Ubuntu 上运行 OpenSSH 10.2p1。这里没有什么出奇的内容,但这是对目标可达性并确认暴露情况的第一次真正检查。 ### 3. 使用 Hydra 进行 SSH 暴力破解尝试 ``` hydra -l root -P /usr/share/wordlists/rockyou.txt -t 4 ssh://10.132.159.111 ``` 这次的结果并不如我预期。OpenSSH 自身的速率限制(`MaxAuthTries` / preauth throttling)几乎立刻生效,并开始直接丢弃 Hydra 的连接——Hydra 甚至抛出了 `[ERROR] all children were disabled due too many connection errors`,还没来得及深入扫描字典它就停止了。 尽管攻击受到了限制,Wazuh 仍然捕获了所有内容: - 记录并关联了 **468 个认证失败事件** - 自动映射到 MITRE ATT&CK 技术:**Password Guessing, Brute Force, SSH** - 告警等级范围在 5–10 级(中危) 我还注意到 dashboard 中有 21 个“authentication success”事件,我必须确保自己没有误读实际上并未发生的入侵。我检查了实际事件——每一个都是规则 5501("PAM: Login session opened"),这只是来自我自己在 Wazuh 和目标机器上的管理员会话的正常登录会话活动,与 Hydra 尝试完全无关。这很好地提醒了我,必须去核实告警实际显示的内容,而不是仅凭表面上的总计数下结论。 ## 我学到了什么 - 目标上的速率限制会干扰攻击工具,这实际上比一次干净且成功的暴力破解能带来更有趣的检测故事 - Wazuh 的默认规则集无需编写任何自定义规则即可捕获 SSH 认证失败——MITRE 映射是自动完成的 - 在得出结论之前,必须对照实际事件详情检查告警总数——这 21 次“成功”差点就被误报成它们并非如此的事件了 ## 下一步计划 - 添加带有 Sysmon 的 Windows 终端,以获取更丰富的遥测数据(进程创建、注册表更改) - 更多演练类型——文件完整性监控、恶意软件检测测试(EICAR),也许还会进行权限提升尝试 - 除了 Wazuh 已经涵盖的基于日志的功能外,引入 Suricata 进行网络层检测 - 绘制一张正式的网络拓扑图 ## 备注 截图和详细的演练记录都在各自的文件夹中。我会随着进展不断更新这些内容,而不是一次性全部抛出,因为这个项目的真正意义在于展示过程,而不仅仅是最终结果。
标签:Metaprompt, PB级数据处理, Wazuh, 安全运维, 安全运营, 实验室环境, 扫描框架, 插件系统