Dany-Pinto/Wazuh-Lab

# Wazuh Detection Lab – Active Directory 环境 使用 **Wazuh** 构建的实用 SIEM 实验室，用于模拟 **Active Directory 环境中的真实 SOC 监控**。 # 为什么构建此实验室 在学习了安全监控和检测工程之后，我希望在 **真实环境中应用这些概念，而不仅仅是理论学习**。 此实验室展示了我的以下能力： - 部署和配置 **SIEM (Wazuh)** - 收集和分析 **Windows Security 日志** - 模拟 **攻击者行为** - 创建 **自定义检测规则** - 使用 **SOC 调查工作流** 调查警报 # 实验室环境 实验室环境包括： - **Windows Server** (域控制器) - **Windows 10** (加入域的终端) - **Wazuh OVA** (Manager + OpenSearch + Dashboard) 代理使用 **TLS 端口 1514** 进行内部通信。 启用了 **PowerShell Script Block Logging** 以提供对 PowerShell 活动的更深入可见性。 # 实验室架构 下图展示了安全事件如何被 Wazuh 收集和处理。  # 模拟安全事件 在实验室期间生成并分析了以下 Windows Security 事件： - **4720** – 用户账户创建 *(可能的持久化)* - **4728** – 用户被添加到 Domain Admins *(权限提升)* - **4625** – 失败的身份验证尝试 *(暴力破解 - MITRE T1110)* - **4104** – PowerShell 执行 *(进程发现 – MITRE T1057)* 这些事件模拟了 Active Directory 环境中潜在攻击的不同阶段。 ## MITRE ATT&CK 映射 | Event ID | Detection | MITRE Technique | |---------|----------|----------------| 4625 | 失败登录尝试 | T1110 – Brute Force | 4720 | 用户账户创建 | T1136 – Create Account | 4728 | 添加到 Domain Admins | T1098 – Account Manipulation | 4104 | PowerShell 执行 | T1057 – Process Discovery | # 自定义检测 – 暴力破解 (Rule ID 110200) 创建了一个自定义 **Wazuh 关联规则** 来检测暴力破解尝试。 **检测逻辑** - 5 次失败登录 (**Event ID 4625**) - 发生在 **60 秒** 内 - 严重性 **级别 10** 映射到 **MITRE ATT&CK – T1110 (Brute Force)**。 此检测允许在 **攻击者成功登录之前** 及早识别可疑的身份验证活动。 # 调查方法 对于 Wazuh 中生成的每个警报，使用了以下 SOC 调查工作流： 1. 识别 **行为者 (主体)** 2. 识别 **受影响的账户或组** 3. 评估潜在的 **风险和影响** 4. 关联相关事件 5. 验证活动的合法性 6. 建议 **遏制或缓解措施** # 证据 实验室环境的截图可在 **`screenshots`** 目录中找到，包括： - 连接到 Manager 的 Wazuh 代理 - Windows Event Viewer 日志 - 由模拟活动生成的 Wazuh 警报 - 暴力破解检测规则的证据 # 自定义规则 此实验室中使用的自定义 Wazuh 检测规则可在 **`rules`** 目录中找到。 # 后续步骤 为此实验室计划的未来改进： - 扩展针对其他安全事件的检测覆盖范围 - 改进警报调整以减少误报 - 测试 **Wazuh Active Response 功能**

标签：Active Directory, AI合规, AMSI绕过, Cloudflare, MITRE ATT&CK, Plaso, PowerShell日志, Terraform 安全, Wazuh, Windows Server, Windows日志, 域环境, 威胁检测, 安全实验, 安全运营, 实验室环境, 底层编程, 开源SIEM, 扫描框架, 渗透测试模拟, 红队行动, 网络安全, 自定义规则, 隐私保护