Rishon15/Wazuh-Detections_Rules_Win
GitHub: Rishon15/Wazuh-Detections_Rules_Win
基于Atomic Red Team攻击模拟验证的Wazuh Windows检测规则集,解决默认规则噪音大、告警可操作性差的问题。
Stars: 0 | Forks: 0
# Wazuh 检测实验室
**项目状态:** - 已完成。
**重点:** - Windows 安全、日志分析和自定义规则工程。
**工具:** - Wazuh, Sysmon, Atomic Red Team 和 Powershell。
## 项目概述 本仓库记录了我在**检测工程**方面的实践历程。目标是在 Wazuh 默认规则的基础上,针对真实攻击场景构建具有可操作性的威胁告警。
在该实验室中,我使用 Atomic Red Team 模拟攻击,分析生成的原始遥测数据/日志,并根据其严重性开发自定义规则以减少误报。
## 方法论 针对每一个 MITRE ATT&CK 场景,均遵循严格的工程生命周期。 1. **模拟** - 通过 Atomic Red Team 执行脚本进行模拟。 2. **分析** - 审查原始日志以识别独特模式。 3. **工程** - 开发特定的 REGEX 或 XML 规则以过滤噪音并锁定攻击意图。 4. **验证** - 重新运行攻击以验证所创建规则及其效果。
## 检测作品集 | 战术 | 技术 | 描述 | |---|---|---| | 侦察 | T1592 | 使用 Windows Cmdlet 进行侦察 | | 侦察 | T1592 | 通过 Windows Cmdlet 进行侦察 | | 初始访问 | T1566 | 通过网络钓鱼进行初始访问 | | 执行 | T1059 | 通过 `Invoke-Command` Cmdlet 执行 | | 持久化 | T1053 | 通过计划任务实现持久化 | | 权限提升 | T1548 | 绕过用户访问控制 | | 防御规避 | T1070 | 清除 Windows 事件日志 | | 凭证访问 | T1003 | 使用 pypykatz 进行凭证转储 | | 发现 | T1016 | 网络与系统配置发现 | | 横向移动 | T1021 | 远程服务登录 | | 收集 | T1560 | 使用 Windows 二进制文件进行数据混淆与压缩 | | 命令与控制 | T1071 | 通过 Web 协议进行 C2 通信 | | 数据渗出 | T1041 | 使用 Windows 二进制文件进行数据渗出 | | 影响 | T1490 | 使用 Windows 二进制文件清除备份 |
## 技术栈 - **SIEM:** Wazuh 4.x - **端点:** Windows 10 (已配置 Sysmon), Windows 11 (企业版) - **模拟:** Atomic Red Team (PowerShell) - **日志源:** 使用 [SwiftOnSecurity](https://github.com/SwiftOnSecurity/sysmon-config) 的 Sysmon 配置
**重点:** - Windows 安全、日志分析和自定义规则工程。
**工具:** - Wazuh, Sysmon, Atomic Red Team 和 Powershell。
## 项目概述 本仓库记录了我在**检测工程**方面的实践历程。目标是在 Wazuh 默认规则的基础上,针对真实攻击场景构建具有可操作性的威胁告警。
在该实验室中,我使用 Atomic Red Team 模拟攻击,分析生成的原始遥测数据/日志,并根据其严重性开发自定义规则以减少误报。
## 方法论 针对每一个 MITRE ATT&CK 场景,均遵循严格的工程生命周期。 1. **模拟** - 通过 Atomic Red Team 执行脚本进行模拟。 2. **分析** - 审查原始日志以识别独特模式。 3. **工程** - 开发特定的 REGEX 或 XML 规则以过滤噪音并锁定攻击意图。 4. **验证** - 重新运行攻击以验证所创建规则及其效果。
## 检测作品集 | 战术 | 技术 | 描述 | |---|---|---| | 侦察 | T1592 | 使用 Windows Cmdlet 进行侦察 | | 侦察 | T1592 | 通过 Windows Cmdlet 进行侦察 | | 初始访问 | T1566 | 通过网络钓鱼进行初始访问 | | 执行 | T1059 | 通过 `Invoke-Command` Cmdlet 执行 | | 持久化 | T1053 | 通过计划任务实现持久化 | | 权限提升 | T1548 | 绕过用户访问控制 | | 防御规避 | T1070 | 清除 Windows 事件日志 | | 凭证访问 | T1003 | 使用 pypykatz 进行凭证转储 | | 发现 | T1016 | 网络与系统配置发现 | | 横向移动 | T1021 | 远程服务登录 | | 收集 | T1560 | 使用 Windows 二进制文件进行数据混淆与压缩 | | 命令与控制 | T1071 | 通过 Web 协议进行 C2 通信 | | 数据渗出 | T1041 | 使用 Windows 二进制文件进行数据渗出 | | 影响 | T1490 | 使用 Windows 二进制文件清除备份 |
## 技术栈 - **SIEM:** Wazuh 4.x - **端点:** Windows 10 (已配置 Sysmon), Windows 11 (企业版) - **模拟:** Atomic Red Team (PowerShell) - **日志源:** 使用 [SwiftOnSecurity](https://github.com/SwiftOnSecurity/sysmon-config) 的 Sysmon 配置
标签:AI合规, AMSI绕过, Atomic Red Team, BurpSuite集成, Conpot, CSV导出, DAST, IP 地址批量处理, PE 加载器, Sysmon, Wazuh, Windows安全, XML配置, 后渗透, 威胁检测, 子域名变形, 安全实验室, 安全运营中心, 实时处理, 恶意软件分析, 数据泄露检测, 网络映射, 规则调优, 误报减少