manuelort978/soc-lab-atomic-threat-hunting

# Atomic Red Team & Wazuh – 威胁狩猎实验室 ## 概述 本项目使用 Atomic Red Team 模拟对手技术，并使用 Wazuh SIEM 分析系统行为。 该实验室专注于威胁狩猎而非预定义的检测规则，复现真实世界的 SOC 工作流程。 ## 目标 * 模拟 MITRE ATT&CK 技术 * 在 Wazuh 中分析 Windows 日志 * 识别可疑行为 * 培养威胁狩猎技能 ## 执行的技术 技术 | 描述 --------- | ------------------------------ T1003 | 凭证转储（模拟） T1057 | 进程发现 T1082 | 系统信息发现 T1110 | 暴力破解（模拟） ## 方法论 本实验室遵循威胁狩猎方法： 1. 执行攻击模拟 2. 在 Wazuh 中收集日志 3. 查询并分析事件 4. 识别可疑模式 ## 主要发现 * 检测到可疑进程执行 * 观察到系统侦察活动 * 识别出潜在的暴力破解模式 * 发现凭证访问模拟的证据 ## 展示的技能 * 威胁狩猎 * SIEM 分析 (Wazuh) * MITRE ATT&CK 映射 * 日志分析 * 事件调查 ## 项目结构 * `/techniques` → 每项技术的文档 * `/reports` → 最终分析 * `/queries` → 使用的狩猎查询 ## 未来改进 * 在 Wazuh 中创建检测规则 * 自动化告警 * 集成威胁情报源

标签：Atomic Red Team, BurpSuite集成, Cloudflare, MITRE ATT&CK, PoC, TGT, URL发现, Wazuh, Windows日志, 事件调查, 凭证转储, 子域枚举, 安全实验室, 安全检测, 安全运营, 扫描框架, 攻防模拟, 攻防演练, 数据泄露检测, 无线安全, 暴力破解, 系统信息发现, 网络安全, 进程发现, 隐私保护