mandamabu/wazuh-siem-detection-lab

GitHub: mandamabu/wazuh-siem-detection-lab

基于 Wazuh 搭建的 SIEM 实验环境,包含 5 条自定义安全检测规则及告警分流指南,用于模拟和练习安全运营中心的事件监控与响应流程。

Stars: 0 | Forks: 0

## wazuh-siem-detection-lab 一个 Wazuh SIEM 实验环境,包含 5 条用于身份验证、权限提升和账户更改的自定义检测规则,部署在 Kali/Ubuntu VirtualBox 环境中。 这是一个实践性的 Wazuh SIEM 部署项目,通过 Ubuntu Server 管理端监控 Kali Linux 终端节点,包含 5 条自定义检测规则,涵盖 SSH 身份验证、密码更改、权限提升和账户活动。 # 项目概述 本项目模拟了一个安全运营中心 (SOC) 监控设置。Wazuh Manager、Indexer 和 Dashboard 部署在 Ubuntu Server 虚拟机上,并将一台 Kali Linux 虚拟机接入作为受监控的 agent。我们编写、测试并验证了 5 条自定义检测规则以应对真实的触发事件,同时为每个告警记录了分流排查指南,说明了 SOC 分析师接下来需要调查的内容。 该项目的目标是超越基础的 Wazuh 规则检测,展示编写、调试和验证自定义检测规则,直到在 dashboard 中进行实时告警验证的能力。本仓库包含一个包含所有本地规则的 xml 文件、一份告警分流排查指南文档、一个 wazuh 架构图以及展示每个步骤的截图。 # 使用工具 1-Wazuh 4.9 (Manager, Indexer, Dashboard) 2-Ubuntu Server (Wazuh Manager 宿主机) 3-Kali Linux (Wazuh Agent) 4-Oracle VirtualBox (连接各 VM 的 Host-Only 网络) 5-draw.io (网络架构图) # 环境设置 1-两台 VM 通过 VirtualBox Host-Only 网络 (192.168.56.0/24) 连接,每台还配置了 NAT 适配器以进行互联网访问。 2-Ubuntu Server VM - 192.168.56.103 - 运行 Wazuh Manager、Indexer 和 Dashboard。 3-Kali Linux VM - 192.168.56.101 - 运行 Wazuh Agent,已注册并向 manager 汇报。 4-两台 VM 之间配置了 SSH 连接,以便进行远程管理。 # 执行步骤 1-使用官方安装脚本在全新的 Ubuntu Server VM 上部署了 Wazuh,并针对实验室环境进行了调优。 2-在 Kali Linux 上安装并注册了 Wazuh Agent,通过 dashboard 确认 agent 已成功注册。 3-在 local_rules.xml 中编写了 5 条自定义检测规则,每条规则均基于经过验证的基础 Wazuh 规则 ID 构建,并针对真实的触发事件(而非假设行为)进行了测试: . 100001 - 多次 SSH 登录失败 . 100002 - 创建新用户账户 . 100003 - 执行密码更改命令 . 100004 - 切换用户 (su) 失败尝试 . 100005 - 用户开启 Sudo 会话 4-在 Kali agent 上实时触发了每条规则,并在 Wazuh Dashboard 的 Threat Hunting 视图中确认了检测结果。 5-为所有 5 条规则记录了告警分流排查指南,涵盖了触发每个告警的原因、从安全角度来看为何重要,以及 SOC 分析师接下来需要调查的内容。 6-制作了一张网络架构图,展示了两台 VM 及其 IP 地址、Host-Only 网络以及从 agent 到 manager 的日志流方向。
标签:Wazuh, Web报告查看器, 安全实验环境, 安全运营, 扫描框架