Jeremy-Burgos/wazuh-detection-engineering
GitHub: Jeremy-Burgos/wazuh-detection-engineering
一个基于真实 Ubuntu 部署脱敏后的 Wazuh 检测内容库,提供实用的自定义规则、解码器及操作安全指南。
Stars: 0 | Forks: 0
# Wazuh 检测工程
基于真实的 Ubuntu 部署构建的、经过脱敏处理的 Wazuh 检测内容。
此仓库专注于实用的自定义规则、自定义解码器、IOC 列表设计、主动验证以及面向操作员的安全实施指导。它旨在为运行现代 Wazuh 的防御者提供帮助,同时也让审查我工作的工程师或业务所有者易于阅读。
## 范围
本仓库包括:
- 适用于 Linux 和 macOS 的自定义 Wazuh 规则
- 针对选定日志源的自定义解码器
- 示例 IOC 和允许列表 CDB 列表格式
- 与基线包清晰分离的特定威胁示例内容
- 围绕手动放置、验证、回滚和脱敏规范编写的文档
本仓库不包括:
- 一键式生产环境部署自动化
- 完整的基础设施配置
- 盲目复制的全部脚本
- 未脱敏的实时环境数据
- 声称此处的每个示例无需调整即可在所有环境中安全部署
## 为什么存在此仓库
许多公开的 Wazuh 内容要么过于通用,要么噪音过大,要么与某种特定的设置绑定过于紧密。这里的目标则不同:
- 保持结构整洁
- 保持范围诚实
- 保持内容可复用
- 记录真实的运营权衡
- 使验证和回滚成为工作流中的首要部分
## 适用对象
本仓库面向以下人群:
- Wazuh 从业者
- 家庭实验室用户
- 安全研究员
- SOC 分析师
- Linux 防御者
- 蓝队工程师
- 查看我的 GitHub 个人资料的业务所有者
## 基线环境
本仓库中的内容是基于一个真实的单机版 Wazuh 部署构建的,其中包含自定义规则、解码器和 CDB 列表,运行在 Ubuntu 24.04.4 上,使用 Wazuh 4.14.4 组件。实时配置中曾存在集群设置但已被禁用,因此本仓库作为单节点基线进行记录,而非集群指南。
有关确切的版本和环境说明,请参阅 [TESTED_ON.md](TESTED_ON.md)。
## 仓库布局
```
rules/
macos/
linux/
shared/
decoders/
shared/
macos/
linux/
lists/
ioc/
examples/
manager/
agent/
```
## 内容设计
本仓库有意划分为:
1. 基线包
这些是实用的检测构建模块,例如 macOS 持久性 FIM、macOS USB 监控、Linux AppArmor FIM、Linux 持久性覆盖以及通用解码器。
2. 特定威胁示例
这些是范围更窄的包,例如 FrigidStealer 或 Koske,它们被清晰地分开,以免混淆基线内容。
3. 示例 IOC 格式
`lists/ioc/` 下的 `.example` 文件是用于结构和工作流的经过脱敏的示例。它们不应被视为权威的威胁情报源。
## 安装理念
本仓库假定采用手动复制和放置的方式。
这是有意为之。
安全内容在部署前应进行审查。规则、解码器和基于列表的逻辑如果未经验证直接放入错误的环境,可能会导致噪音、误报、意外的警报量激增或主动响应后果。
先审查内容。备份当前配置。一次添加一个包。进行验证。刻意重启。如需回滚则迅速执行。
## 验证工作流
建议顺序如下:
1. 添加或更新一个规则文件或解码器文件
2. 确认任何引用的列表已在 Wazuh 的 `` 部分注册
3. 验证配置和解析
4. 仅在验证成功后重启管理器
5. 使用受控的测试数据确认预期的警报
6. 在进一步扩展之前记录任何调整或误报
将 Wazuh 的配置和测试工具作为每次变更的一部分加以使用,而不仅仅是在出现问题之后使用。
## 风险与护栏
本仓库假定您了解以下风险:
* 重复的规则 ID 可能会破坏或扭曲检测
* 重复的解码器名称会造成混淆
* 宽泛的 FIM 路径可能产生大量噪音
* IOC 列表只有在实际连接到活动规则时才有用
* 主动响应可能会产生真实的运营影响
* 复制的示例通常需要特定于环境的调整
## 脱敏策略
本仓库中的任何内容都不应暴露:
* 公网或内网 IP 地址
* 与私有基础设施绑定的域名
* API 密钥或 webhook URL
* 用户名
* 客户标识符
* 主机名
* 敏感的 agent 命名
* 不具备社区价值的独特内部文件路径
## 贡献策略
允许提交问题和经过筛选的 pull request,但这并不是一个开源社区仓库,并非每个提交都会被合并。
安全问题应根据 [SECURITY.md](SECURITY.md) 私下报告。
贡献标准记录在 [CONTRIBUTING.md](CONTRIBUTING.md) 中。
标签:AMSI绕过, CDB列表, IOC, osquery, Redis利用, Wazuh, x64dbg, 主动响应, 合规检测, 失陷指标, 威胁情报, 威胁检测, 安全运营, 安全配置, 开发者工具, 扫描框架, 检测规则, 渗透测试框架, 网络资产发现, 自定义规则, 解码器, 运维安全, 速率限制, 防御