Shasaank-S/Wazuh-SOC-Home-Lab
GitHub: Shasaank-S/Wazuh-SOC-Home-Lab
该项目是一个基于 Wazuh SIEM/XDR 的 SOC 家庭实验室,演示端到端的威胁检测、日志关联与攻击模拟,帮助安全分析师实战练习检测工程与威胁狩猎。
Stars: 1 | Forks: 0
# SOC/SIEM 家庭实验室 — 使用 Kali Linux 进行 Wazuh XDR、FIM 与威胁模拟








## 📋 目录
- [环境要求](#requirements)
- [使用的工具](#tools-used)
- [系统架构](#system-architecture)
- [搭建演练](#setup-walkthrough)
- [1. Ubuntu VM + Wazuh Manager](#1-ubuntu-vm--wazuh-manager)
- [2. Windows Agent 部署](#2-windows-agent-deployment)
- [3. Sysmon 与日志增强](#3-sysmon--log-enrichment)
- [4. 文件完整性监控 (FIM)](#4-file-integrity-monitoring-fim)
- [5. VirusTotal 集成](#5-virustotal-integration)
- [结果与检测分析](#results--detection-analysis)
- [经验总结与故障排除](#lessons-learned--troubleshooting)
- [未来进阶](#future-advancements)
- [参考文献](#references)
- [作者](#author)
## 环境要求
- Oracle **VirtualBox**
- **Ubuntu Server 22.04+** VM(桥接网络,可访问互联网) — Wazuh Manager
- 具有管理员权限的 **Windows 11 主机** — Wazuh Agent 端点
- **Kali Linux** VM — 攻击机
- 免费的 **VirusTotal API key**
- 基本的 Linux 和 Windows 系统管理知识
## 使用的工具
| 类别 | 工具 | 用途 |
|----------|------|---------|
| SIEM / XDR | **Wazuh 4.14** | 日志分析、关联引擎、告警 |
| 端点 agent | **Wazuh Agent** (Windows) | 将遥测数据发送至 manager |
| 端点遥测 | **Sysmon** | 进程、网络和注册表事件记录 |
| 虚拟化 | **Oracle VirtualBox** | 承载 Ubuntu 和 Kali VM |
| 威胁情报 | **VirusTotal API** | 自动进行文件哈希声誉查询 |
| 侦察 | **Nmap** | 端口扫描与服务枚举 |
| 凭证攻击 | **Hydra** | SSH 暴力破解模拟 |
| 测试载荷 | **EICAR** | 业界标准的防病毒测试文件 |
## 系统架构
三台机器均运行在 VirtualBox 的 **桥接适配器(Bridged Adapter)** 上,在本地 `192.168.0.0/24` 网络中各自拥有独立的 IP。Windows 主机通过 TCP 1514 端口将加密的遥测数据发送给 Wazuh Manager;manager 通过 VirusTotal API 对文件事件进行充实。Kali VM 对环境发起 Nmap 侦察和 Hydra SSH 暴力破解。
:443` 访问 Wazuh Dashboard(接受自签名证书警告,并使用安装结束时打印的自动生成的 `admin` 凭证登录)。
**Wazuh Dashboard 登录界面:**
` 块内添加了一个受监控的测试目录:
```
C:\Users\\Desktop\wazuh-test
```
保存后,重启 Wazuh agent 服务以应用更改。现在,FIM 会针对该文件夹中的任何内容报告 **创建 / 修改 / 删除** 事件。
**FIM — 添加到 agent 配置中的受监控测试目录:**




























标签:AMSI绕过, CTI, Sysmon, Wazuh, 威胁检测, 安全运营, 扫描框架, 插件系统, 攻击模拟, 驱动签名利用