Bukkkola/home-siem-lab
GitHub: Bukkkola/home-siem-lab
基于 Wazuh 和 Docker 在个人电脑上搭建的开源 SIEM 实验室,用于练习日志收集、威胁检测规则编写和安全告警调优。
Stars: 0 | Forks: 0
家庭 SIEM 实验室:威胁检测与日志分析
这是一个自建的安全信息与事件管理(SIEM)实验室,旨在练习日志收集、威胁检测、告警调优和事件可视化——全部在 MacBook 上使用免费的开源工具完成。
概述
本项目模拟了一个小型的企业安全监控环境。它涵盖了完整的检测生命周期:从端点上的原始日志收集,到 SIEM 中的关联分析和告警,再到汇总检测到的活动的仪表板。
目标:了解 SOC 分析师如何使用 SIEM 来检测和调查可疑行为——例如暴力破解登录尝试、未经授权的账户创建以及可疑的命令执行。
架构
┌─────────────────┐ ┌─────────────────┐
│ Ubuntu 虚拟机 │ │ Windows 虚拟机 │
│ (Wazuh Agent) │ │ (Wazuh Agent) │
└────────┬─────────┘ └────────┬─────────┘
│ 加密日志转发 │
└───────────────┬───────────────────────┘
▼
┌───────────────────────┐
│ Wazuh Manager │
│ (Docker,在 MacBook 上) │
│ - 日志摄取 │
│ - 规则关联 │
│ - 告警引擎 │
└───────────┬────────────┘
▼
┌───────────────────────┐
│ Wazuh Dashboard │
│ (基于 Kibana 的 UI) │
└───────────────────────┘
使用的工具:
Wazuh Manager + Dashboard(macOS 上的 Docker)
用于端点虚拟机的 UTM / VirtualBox
Ubuntu Server(Linux 端点)
Windows 10/11(Windows 端点)
设置步骤
1. 部署 SIEM
在 macOS 上安装了 Docker Desktop。
通过 wazuh-docker 仓库部署了 Wazuh 单节点 stack。
访问位于 https://localhost:443 的仪表板。
2. 收集和集中日志
通过 UTM 配置了 Ubuntu 和 Windows 虚拟机。
在每个虚拟机上安装了 Wazuh agents,并向 manager 注册。
验证了 agent 的连接状态 = Active。
3. 生成并摄取安全事件
模拟了以下活动以生成日志数据:
重复的 SSH 登录失败尝试(暴力破解模拟)
创建本地用户账户(useradd / Windows 本地用户)
执行可疑命令(reverse shell 监听器,未经授权的下载)
4. 分析日志和配置告警
在 Threat Hunting 下查看了原始事件。
在 local_rules.xml 中编写了自定义关联规则,用于标记 60 秒内 5 次以上的登录失败。
调整了规则严重级别以减少误报。
示例自定义规则:
xml
5716
Multiple failed SSH logins from same source - possible brute force
T1110
5. 可视化和报告发现
构建了一个仪表板,用于跟踪登录失败趋势、告警严重级别分布以及最受攻击的账户。
截取了触发的告警和仪表板视图的屏幕截图(见 /screenshots)。
发现与检测
模拟的活动是否检测到?触发的规则严重级别SSH 暴力破解✅自定义规则 100010高新建本地账户✅Wazuh 默认规则中Reverse shell 尝试✅Wazuh 默认规则高
截图
在此处添加您的截图:
screenshots/dashboard-overview.png
screenshots/failed-login-alert.png
screenshots/agent-status.png
经验总结
关于遇到的误报以及如何调整阈值的说明。
关于任何检测盲区的说明(例如,没有 Sysmon 时的 Windows Event Log 可见性)。
后续计划
将 Sysmon 添加到 Windows 端点,以获得更深入的进程级可见性。
与 SOAR playbook 集成以实现自动化响应。
为所有自定义规则添加 MITRE ATT&CK 映射。
免责声明
本实验室仅供教育目的使用,完全建立在一个隔离的本地环境中。未涉及任何生产系统或真实用户数据。
标签:AMSI绕过, Docker, Wazuh, 威胁检测, 安全实验环境, 安全运营, 安全防御评估, 对抗机器学习, 扫描框架, 红队行动, 请求拦截, 越狱测试, 速率限制