Arsu09/Wazuh-Detection-Engineering

## 📂 项目结构 为了让本仓库易于浏览，我按如下方式组织了文件： * **[Documentation/](Documentation/)**：包含完整的技术报告（PDF），涵盖了第 2 周任务的分步实施过程。 * **[Configuration/](Configuration/)**：包括用于 FIM 和 Active Response 的 `local_rules.xml` 代码片段和 `ossec.conf` 设置。 * **[Screenshots/](Screenshots/)**：Wazuh 仪表板告警、日志分析和自动防火墙拦截的视觉证据。 ### 🛠️ 技术深入解析 #### 1. 配置亮点 (`/Configuration`) 在此文件夹中，您可以找到我编写的用于检测以下内容的自定义 XML 规则： - **SSH 暴力破解：** 规则 ID `100001`（等级 10）。 - **用户创建：** 针对 Windows Event ID 4720 的规则 ID `100002`（等级 7）。 #### 2. 证据与结果 (`/Screenshots`) 模拟期间捕获的关键告警： - **FIM 告警：** 当 `/etc/test_file` 被修改时的实时通知。 - **Active Response：** 在 5 次尝试失败后，`iptables` 自动丢弃攻击者 IP 的证据。 ### 🛡️ 如何使用本仓库 1. 查看 `Documentation` 文件夹中的**完整报告**以获取详细的演练。 2. 使用 `Configuration` 中的 XML 代码片段，在您自己的 Wazuh 环境中实施类似的检测逻辑。

标签：AMSI绕过, DNS 反向解析, GitHub Advanced Security, iptables, ossec, SSH暴力破解, Wazuh, x64dbg, 主动响应, 威胁检测, 子域枚举, 安全加固, 用户行为监控, 网络安全, 自动化防御, 规则编写, 隐私保护