9iui/wazuh-rules

# Wazuh 检测规则 – SecGen 实验室 # Wazuh 检测工程仓库 本仓库包含作为结构化检测工程实验室一部分而开发的检测规则、用例及规则调优技术。 重点关注领域包括： - 基于 MITRE ATT&CK 的威胁检测 - 日志分析与富化 - 检测逻辑开发 - 误报调优 - 告警严重性设计 环境： - Wazuh SIEM - Sysmon - Linux audit 日志 - Windows 事件日志 - Active Directory 实验室 - 攻击模拟 本仓库旨在记录检测工程实践并持续提升防御可见性。

标签：Active Directory, AMSI绕过, Cloudflare, DNS 反向解析, Linux审计, MITRE ATT&CK, Plaso, SecGen, Sysmon, Terraform 安全, Wazuh, Web报告查看器, Windows事件日志, 告警分级, 威胁检测, 子域名变形, 安全可见性, 安全运营, 实验室环境, 扫描框架, 攻击模拟, 日志富化, 网络信息收集, 规则编写, 误报调优, 防御策略, 驱动签名利用