WorkWithAnjola/home-soc-lab
GitHub: WorkWithAnjola/home-soc-lab
一个基于 VirtualBox、Wazuh SIEM 和 Kali Linux 构建的家庭安全运营中心实验室,用于在资源有限的个人设备上练习威胁检测、告警分诊与事件响应的完整流程。
Stars: 1 | Forks: 0
# 家庭 SOC 实验室 🛡️
一个从零开始构建的实操型安全运营中心(SOC)实验室,旨在使用免费、开源的工具在个人电脑上练习威胁检测、警报分类和事件响应。
## 概述
本项目模拟了一个小型的 SOC 环境:
- 一台 **Wazuh SIEM** 服务器监控并记录安全事件
- 一台 **Kali Linux** 攻击机生成真实的攻击流量
- 所有活动均通过 Wazuh dashboard 进行分析,就像真实分析师的日常操作一样
整个环境完全在一台资源有限的笔记本电脑(16GB RAM)上构建,因此涉及大量真实的故障排除过程——以下均有记录。
## 架构
| 组件 | 详情 |
|---|---|
| Hypervisor | Oracle VirtualBox |
| SIEM | Wazuh 4.14.6(indexer + server + dashboard,all-in-one) |
| SIEM 宿主机 OS | Ubuntu Server 22.04 LTS |
| 攻击机 | Kali Linux 2025.4 |
| 网络 | Host-only adapter(实验室隔离)+ NAT(互联网访问) |
## 构建日志
### 阶段 1 — 环境设置
- 安装了 VirtualBox,创建了一个 Host-only 网络以实现实验室隔离
- 构建了 Ubuntu Server 虚拟机(6GB RAM,2 vCPU,50GB 磁盘)
### 阶段 2 — Wazuh 安装
这是最具挑战性的阶段。遇到并解决的问题包括:
- **无互联网访问**:Host-only 网络在设计上无法路由到互联网——添加了第二个 NAT adapter 用于软件包下载
- **磁盘空间错误**:Ubuntu 安装程序分配的 LVM 逻辑卷过小(50GB 磁盘仅使用了 23GB)——使用 `lvextend` + `resize2fs` 重新调整了大小
- **下载超时**:大型 indexer 软件包(约 874MB)在下载过程中超时——通过重试解决
- **端口冲突**:之前安装失败留下的进程占用了 55000 端口——通过 `lsof` 定位并将其终止
- **API 注册竞态条件**:Dashboard 服务在 Wazuh API 完全初始化之前就已启动——需要在清除过期软件包后进行彻底的重装
经过多次尝试,安装终于成功完成,三个组件(indexer、manager、dashboard)均成功运行。
### 阶段 3 — Dashboard 访问与验证
- 确认可以通过 `https://` 访问 dashboard
- 登录遇到问题时,使用 Wazuh 内置的 `wazuh-passwords-tool.sh` 重置了管理员凭据
### 阶段 4 — 攻击模拟(Kali)
- 验证了 Kali 与 Wazuh 服务器之间的网络连通性(Host-only 网络)
- 对 Wazuh 服务器运行了 `nmap -sV` 服务版本扫描
- 在 Wazuh 的 **Discover** 标签页中查看了捕获的事件——确认了 manager 会记录系统级别的活动(SSH 登录、sudo 使用情况、PAM 身份验证事件)
- **下一步**:模拟 SSH 登录失败尝试,以生成更高严重级别的身份验证警报
## 经验总结
- Host-only 网络提供了隔离,但在设置过程中需要第二个 adapter 来访问互联网
- 默认的 Ubuntu LVM 分区并不总是使用全部分配的磁盘——务必使用 `df -h` 进行验证
- 资源受限的虚拟机(6GB RAM)可能导致安装过程发生不可预测的失败——耐心和系统地阅读日志(`/var/log/wazuh-install.log`)是诊断每次故障的关键
- 在标准安装中,Wazuh 的 manager 和 agent 无法共存于同一主机上——需要专用的 agent 主机才能实现完整的端点监控
标签:AMSI绕过, Wazuh, 威胁检测, 安全实验室, 安全运营中心, 网络映射