Pallavii-dev/siem-home-lab

GitHub: Pallavii-dev/siem-home-lab

该项目搭建了一个完整的 Wazuh SIEM 家庭实验室,通过模拟真实安全事件并记录详细的设计逻辑,帮助安全从业者掌握日志收集、告警检测与规则调优的实操技能。

Stars: 0 | Forks: 0

# 使用 Wazuh 搭建 SIEM 家庭实验室 一个自建的 SIEM 家庭实验室:在一台虚拟机中运行的 **Wazuh** 服务器,通过 Wazuh agent 从实时运行的 Windows 终端收集日志。我会触发真实的安全事件——暴力破解登录、文件完整性更改、EICAR 测试恶意软件以及漏洞清单——观察它们如何实现端到端的告警,并编写我自己的自定义检测规则来捕获它们。 ## 为什么做这个项目 SIEM 经验是 SOC Analyst / 蓝队角色中最被看重的技能,并且它非常注重实操:遥测数据传入 → 触发规则 → 进行分流分析 → 进行调优。这个实验室在真实的遥测数据上展示了这个闭环,而且——更重要的是——**记录了每一个设计选择背后的逻辑**,而不仅仅是操作步骤。 ## 架构 | 组件 | 角色 | |---|---| | Wazuh 服务器虚拟机 (manager + indexer + dashboard) | SIEM——负责日志收集、关联和告警 | | Windows 主机 + Wazuh agent | 受监控的终端 / 遥测数据源 | | (可选) Kali 虚拟机 | 用于模拟暴力破解的攻击机 | 服务器运行在 VirtualBox 中;agent 运行在我自己的 Windows 机器上并向服务器汇报。 ## 这展示了什么 - 从零开始部署 SIEM 并注册 agent - 检测暴力破解(事件关联)、文件篡改 (FIM)、恶意软件 (EICAR) 以及 CVE - 编写和调优**自定义** Wazuh 检测规则 - 用证据和权衡来论证每一个架构决策 ## 阅读设计逻辑 核心文档是 **[docs/siem-home-lab-design-and-rationale.md](docs/siem-home-lab-design-and-rationale.md)** ——每一个主要选择都被记录为 *我做了什么 → 为什么 → 证据 → 考虑过的替代方案 → 为什么被排除*。 ## 仓库结构 ``` docs/ Design & rationale, setup notes screenshots/ Dashboard alerts, agent status, custom rule firing ``` ## 许可证 MIT
标签:DNS 反向解析, Wazuh, x64dbg, 子域名变形, 安全实验环境, 安全运营, 扫描框架, 红队行动, 自定义DNS解析器, 防御加固