Bukkkola/home-siem-lab

GitHub: Bukkkola/home-siem-lab

基于 Wazuh 和 Docker 在个人电脑上搭建的开源 SIEM 实验室,用于练习日志收集、威胁检测规则编写和安全告警调优。

Stars: 0 | Forks: 0

家庭 SIEM 实验室:威胁检测与日志分析 这是一个自建的安全信息与事件管理(SIEM)实验室,旨在练习日志收集、威胁检测、告警调优和事件可视化——全部在 MacBook 上使用免费的开源工具完成。 概述 本项目模拟了一个小型的企业安全监控环境。它涵盖了完整的检测生命周期:从端点上的原始日志收集,到 SIEM 中的关联分析和告警,再到汇总检测到的活动的仪表板。 目标:了解 SOC 分析师如何使用 SIEM 来检测和调查可疑行为——例如暴力破解登录尝试、未经授权的账户创建以及可疑的命令执行。 架构 ┌─────────────────┐ ┌─────────────────┐ │ Ubuntu 虚拟机 │ │ Windows 虚拟机 │ │ (Wazuh Agent) │ │ (Wazuh Agent) │ └────────┬─────────┘ └────────┬─────────┘ │ 加密日志转发 │ └───────────────┬───────────────────────┘ ▼ ┌───────────────────────┐ │ Wazuh Manager │ │ (Docker,在 MacBook 上) │ │ - 日志摄取 │ │ - 规则关联 │ │ - 告警引擎 │ └───────────┬────────────┘ ▼ ┌───────────────────────┐ │ Wazuh Dashboard │ │ (基于 Kibana 的 UI) │ └───────────────────────┘ 使用的工具: Wazuh Manager + Dashboard(macOS 上的 Docker) 用于端点虚拟机的 UTM / VirtualBox Ubuntu Server(Linux 端点) Windows 10/11(Windows 端点) 设置步骤 1. 部署 SIEM 在 macOS 上安装了 Docker Desktop。 通过 wazuh-docker 仓库部署了 Wazuh 单节点 stack。 访问位于 https://localhost:443 的仪表板。 2. 收集和集中日志 通过 UTM 配置了 Ubuntu 和 Windows 虚拟机。 在每个虚拟机上安装了 Wazuh agents,并向 manager 注册。 验证了 agent 的连接状态 = Active。 3. 生成并摄取安全事件 模拟了以下活动以生成日志数据: 重复的 SSH 登录失败尝试(暴力破解模拟) 创建本地用户账户(useradd / Windows 本地用户) 执行可疑命令(reverse shell 监听器,未经授权的下载) 4. 分析日志和配置告警 在 Threat Hunting 下查看了原始事件。 在 local_rules.xml 中编写了自定义关联规则,用于标记 60 秒内 5 次以上的登录失败。 调整了规则严重级别以减少误报。 示例自定义规则: xml 5716 Multiple failed SSH logins from same source - possible brute force T1110 5. 可视化和报告发现 构建了一个仪表板,用于跟踪登录失败趋势、告警严重级别分布以及最受攻击的账户。 截取了触发的告警和仪表板视图的屏幕截图(见 /screenshots)。 发现与检测 模拟的活动是否检测到?触发的规则严重级别SSH 暴力破解✅自定义规则 100010高新建本地账户✅Wazuh 默认规则中Reverse shell 尝试✅Wazuh 默认规则高 截图 在此处添加您的截图: screenshots/dashboard-overview.png screenshots/failed-login-alert.png screenshots/agent-status.png 经验总结 关于遇到的误报以及如何调整阈值的说明。 关于任何检测盲区的说明(例如,没有 Sysmon 时的 Windows Event Log 可见性)。 后续计划 将 Sysmon 添加到 Windows 端点,以获得更深入的进程级可见性。 与 SOAR playbook 集成以实现自动化响应。 为所有自定义规则添加 MITRE ATT&CK 映射。 免责声明 本实验室仅供教育目的使用,完全建立在一个隔离的本地环境中。未涉及任何生产系统或真实用户数据。
标签:AMSI绕过, Docker, Wazuh, 威胁检测, 安全实验环境, 安全运营, 安全防御评估, 对抗机器学习, 扫描框架, 红队行动, 请求拦截, 越狱测试, 速率限制