Pallavii-dev/siem-home-lab
GitHub: Pallavii-dev/siem-home-lab
该项目搭建了一个完整的 Wazuh SIEM 家庭实验室,通过模拟真实安全事件并记录详细的设计逻辑,帮助安全从业者掌握日志收集、告警检测与规则调优的实操技能。
Stars: 0 | Forks: 0
# 使用 Wazuh 搭建 SIEM 家庭实验室
一个自建的 SIEM 家庭实验室:在一台虚拟机中运行的 **Wazuh** 服务器,通过 Wazuh agent 从实时运行的 Windows 终端收集日志。我会触发真实的安全事件——暴力破解登录、文件完整性更改、EICAR 测试恶意软件以及漏洞清单——观察它们如何实现端到端的告警,并编写我自己的自定义检测规则来捕获它们。
## 为什么做这个项目
SIEM 经验是 SOC Analyst / 蓝队角色中最被看重的技能,并且它非常注重实操:遥测数据传入 → 触发规则 → 进行分流分析 → 进行调优。这个实验室在真实的遥测数据上展示了这个闭环,而且——更重要的是——**记录了每一个设计选择背后的逻辑**,而不仅仅是操作步骤。
## 架构
| 组件 | 角色 |
|---|---|
| Wazuh 服务器虚拟机 (manager + indexer + dashboard) | SIEM——负责日志收集、关联和告警 |
| Windows 主机 + Wazuh agent | 受监控的终端 / 遥测数据源 |
| (可选) Kali 虚拟机 | 用于模拟暴力破解的攻击机 |
服务器运行在 VirtualBox 中;agent 运行在我自己的 Windows 机器上并向服务器汇报。
## 这展示了什么
- 从零开始部署 SIEM 并注册 agent
- 检测暴力破解(事件关联)、文件篡改 (FIM)、恶意软件 (EICAR) 以及 CVE
- 编写和调优**自定义** Wazuh 检测规则
- 用证据和权衡来论证每一个架构决策
## 阅读设计逻辑
核心文档是 **[docs/siem-home-lab-design-and-rationale.md](docs/siem-home-lab-design-and-rationale.md)**
——每一个主要选择都被记录为 *我做了什么 → 为什么 → 证据 → 考虑过的替代方案 → 为什么被排除*。
## 仓库结构
```
docs/ Design & rationale, setup notes
screenshots/ Dashboard alerts, agent status, custom rule firing
```
## 许可证
MIT
标签:DNS 反向解析, Wazuh, x64dbg, 子域名变形, 安全实验环境, 安全运营, 扫描框架, 红队行动, 自定义DNS解析器, 防御加固