zueser0010/SOC-HOME-LAB
GitHub: zueser0010/SOC-HOME-LAB
这是一个基于 Wazuh SIEM 平台模拟并检测 Windows 10 环境下权限提升攻击的 SOC 实验室项目。
Stars: 0 | Forks: 0
权限提升检测
## 概述
使用 Wazuh SIEM 在 Windows 10 上模拟并检测了一次完整的权限提升攻击。
## 环境
| 机器 | 角色 | IP |
|---------|------|----|
| Kali Linux | 攻击者 | 192.168.10.144 |
| Windows 10 | 目标 | 192.168.10.120 |
| Ubuntu (Wazuh) | SIEM | 192.168.10.148 |
## 执行的攻击
1. 创建后门用户账户
2. 将账户添加到管理员组
3. 分配特殊权限
## 检测 — Wazuh 告警
| 事件 ID | 描述 | Wazuh 规则 | 级别 |
|----------|-------------|------------|-------|
| 4720 | 创建了新用户账户 | 60109 | 8 |
| 4672 | 分配了特殊权限 | 60106 | 3 |
| 4732 | 用户添加到管理员组 | 60114 | 10 |
## MITRE ATT&CK 映射
| 技术 | ID | 描述 |
|-----------|-----|-------------|
| Create Account | T1136 | 创建了后门账户 |
| Account Manipulation | T1098 | 添加到管理员组 |
| Privilege Escalation | T1068 | 获得管理员权限 |
## 证据
## 建议
1. 启用账户锁定策略
2. 实时监控事件 ID 4720 和 4732
3. 对任何新建管理员账户发出告警
4. 在所有账户中实施最小权限原则
标签:AMSI绕过, Cloudflare, Conpot, MITRE ATT&CK, Wazuh, Web报告查看器, Windows安全, 协议分析, 后门账户, 威胁检测, 子域枚举, 安全运营, 扫描框架, 权限提升, 网络安全实验