k14nx0/wazuh-siem-soc-monitoring

GitHub: k14nx0/wazuh-siem-soc-monitoring

基于 Wazuh 平台的虚拟化 SOC 实验项目,通过模拟 Windows 暴力破解攻击演示端点安全监控、日志聚合与 Event ID 4625 取证分析的完整流程。

Stars: 1 | Forks: 0

# 🛡️ Wazuh SIEM Endpoint Monitoring & Log Analytics 工具包 ## 📊 基础设施与遥测分类 * **领域重点:** 安全运营中心 (SOC) 运营与蓝队防御 * **核心能力:** 威胁监控、安全事件日志分类筛选、攻击者攻击模拟 ### 🖥️ 企业实验室环境架构 * **中央 SIEM 协调器:** * **平台:** Wazuh OVA 分布式虚拟机节点(预配置 SIEM 服务器架构) * **角色:** 聚合、索引并可视化跨 Endpoint 通道传输的安全事件日志。 * **域基础架构控制器:** * **平台:** Windows Server 2019(企业系统目录基础架构) * **角色:** 管理集中式目录资源、安全策略以及企业域状态日志记录。 * **目标安全 Endpoint 节点:** * **平台:** Windows 10 Pro(x64 工作站客户端节点) * **角色:** 受监控的企业工作站,生成本地化的用户身份验证事件 (Event ID 4625)。 ## 📝 项目概述 本仓库记录了集中式 Wazuh SIEM 仪表盘工作区环境的架构安装、配置和实际应用。通过将专用的 Endpoint 安全 agent 部署到目标 Windows 企业工作站节点上,实现了遥测数据的聚合。 通过模拟活跃的暴力破解威胁 (Event ID 4625),原始遥测数据块通过安全通信通道被提取,映射到全局威胁矩阵框架,并在分析面板视图中进行了手动分类。此设置演示了现实世界中的 SOC 事件聚合、规则触发处理以及事件 payload 解析。 ## 🚀 逐步方法论 ### 阶段 1:Agent 遥测注册与基线映射 1. 在远程目标资产节点与中央 SIEM 管理器仪表盘之间建立了安全链接握手连接。 2. 在主 Web 管理画布控制台内验证了遥测状态网格,以确认 Endpoint 节点已注册、主动报到,并成功流式传输实时事件 pipeline 日志。 ### 阶段 2:客户端主机与服务完整性验证 1. 访问目标 Endpoint 机器,并在本地基础架构服务中初始化了验证诊断。 2. 在系统命令提示符终端中原生验证了 Wazuh Endpoint daemon 监听器的活跃部署状态,以确保持久的日志捕获通道保持活跃且无错误。 ### 阶段 3:模拟攻击者威胁执行(暴力破解) 1. 直接在目标机器 Endpoint 接口网关上模拟了活跃的撞库/暴力破解攻击路径序列。 2. 故意触发了多次失败的身份验证尝试,以迫使 Windows 安全日志子系统生成明确的系统失败日志。 ### 阶段 4:实时事件分类与日志量分析 1. 监控了中央 SIEM 管理器分析引擎控制台仪表盘框架视图。 2. 识别出安全事件日志跟踪图表中飙升的即时大规模异常峰值,预示着活跃的身份验证失败事件浪潮。 ### 阶段 5:深入分析事件 Payload 解析(Windows Event ID 4625) 1. 点击进入告警矩阵布局网格,以分离出原始安全事件元数据 payload 块容器字段。 2. 执行文本搜索查询以解析关键日志元素,审核精确的 **Windows Event ID 4625**(账户登录失败)详细信息。 3. 成功提取了取证攻击工件,包括目标用户名字符串字段、源 IP 连接向量以及明确的失败原因代码。 ## 📸 技术作品集工件 * **01. 管理器 Agent 连接网格:** ![活跃 Endpoint 遥测状态仪表盘](https://static.pigsec.cn/wp-content/uploads/repos/cas/ef/ef7c9f84ef1dd1cfd699d7991e02912d78c385adb464f222ee31fd9e7f049a5d.png) *显示中央 Wazuh Web 界面,确认存在健康、活跃的 Endpoint 遥测流。仪表盘显示了客户端节点 '002' (Windows-10-Client) 的注册状态,该节点从 IP 地址 192.168.154.135 运行 Microsoft Windows 10 Pro 进行报告,验证了成功的连接基线。* * **02. 本地 Endpoint Agent 服务完整性验证:** ![登录失败身份验证提示](https://static.pigsec.cn/wp-content/uploads/repos/cas/23/23156dfc88a769ccc707b85ab9d971a6d7dbba184f3524b0374b3c2875b7a511.png) *显示在客户端节点上的 Windows 命令提示符(管理员)中执行的本地诊断检查。利用独立的 PowerShell 查询 (`Get-Service Name *wazuh*`),控制台命令验证了 'WazuhSvc' 的活跃、持久 runtime 完整性状态为 'Running',确认后台事件转发引擎正在主动捕获主机遥测循环。* * **03. 攻击者身份验证威胁模拟网关:** ![Wazuh Daemon 监听状态](https://static.pigsec.cn/wp-content/uploads/repos/cas/09/090b0648a44393f2d778d767136ae8f7635ad16d7b14f6e535203471981fead4.png) *显示目标虚拟环境内模拟威胁部署轨道的执行阶段。通过在 Windows 10 Pro 客户端节点登录锁定界面上针对用户账户 'Test Dummy' 刻意输入自定义密码测试字符串 ('BruteForceAttack123'),生成了受控的验证失败序列,以测试本地化的告警触发。* * **04. SIEM 事件量告警检测与指标摄取:** ![Wazuh 实时威胁检测告警峰值图表](https://static.pigsec.cn/wp-content/uploads/repos/cas/4b/4b650695aad810d4c681fe7224436c1500d32ba219e4ba3e5b1126e9603edfa1.png) *显示中央 SIEM 管理器分析引擎内的安全事件遥测仪表盘。实时指标直方图标记出安全跟踪图表中飙升的即时时间线体积异常峰值,直观展示了同时在线上捕获多个主机身份验证事件的精确摄取点。* * **05. 深入分析事件日志 Payload 审计 (Event ID 4625):** ![Windows Event ID 4625 日志详情面板](https://static.pigsec.cn/wp-content/uploads/repos/cas/65/65d02cc44dab3b25d74105f39fdf8e1b269c8dbd0304dec5ed51f80c103dc399.png) *显示最终解析的元数据字段容器细分,详细说明了恶意源 IP 地址、目标用户账户名以及 Windows Event ID 4625 身份验证失败指标。* ## 🛡️ 关键要点与 SOC 事件洞察 * **高保真日志识别:** 利用 Windows Event ID 4625 签名,根据告警量频率阈值,将自动化的暴力破解攻击尝试与标准用户配置文件拼写错误清晰区分开来。 * **遥测数据完整性:** 证明了在后台主机环境中静默运行的安全 Endpoint 日志记录 daemon 可以无缝地将丰富的取证数据通过网络边界分区进行管道传输而不会中断。 * **取证工件分类筛选:** 掌握了直接跳过常规告警警告、深入原始日志字段的工作流程,以收集快速构建防御块所需的关键入侵指标 (IOC)。
标签:AI合规, Wazuh, 免杀技术, 安全运营中心, 暴力破解检测, 网络映射, 蓝队防守