hyzamk/wazuh-threat-detection-lab

# Wazuh 威胁检测与响应实验室 基于 Wazuh 的高级威胁检测与响应实验室，包含文件完整性监控（FIM）、VirusTotal、AlienVault OTX、MITRE ATT&CK 映射以及自动化主动响应功能。 # 🔐 Wazuh 威胁检测与响应实验室 ## 概述 本项目展示了一个使用 Wazuh 的先进端点安全监控系统。它集成了多种安全能力，包括文件完整性监控（FIM）、VirusTotal、AlienVault OTX、MITRE ATT&CK 映射以及主动响应机制，用于实时检测、分析和响应威胁。 该项目通过结合检测、威胁情报和自动化响应机制，模拟了一个真实的网络安全运营中心（SOC）环境。 ## 环境说明 本项目最初在 Kali Linux 环境中实现并记录。 为了演示和测试目的，后续在 Windows 系统上使用 Docker 复现了相同的配置。本仓库中包含的所有截图均来自 Windows 环境。 两种配置均遵循相同的架构和设置，确保跨环境功能一致。 ## 功能特性 * 📁 文件完整性监控（FIM） * 🦠 VirusTotal 集成（恶意软件检测） * 🌐 AlienVault OTX 集成（威胁情报） * 🎯 MITRE ATT&CK 映射 * ⚡ 主动响应自动化 ## 🏗️ 架构 系统采用集中式监控架构： * Wazuh 代理收集端点数据 * Wazuh 管理器分析并检测威胁 * 警报通过威胁情报进行增强 * 主动响应自动缓解攻击 * 结果在 Wazuh 仪表板中可视化  ## ⚙️ 安装说明（Windows + Docker） ``` git clone https://github.com/wazuh/wazuh-docker.git -b v4.14.0 cd wazuh-docker/single-node/ docker compose up -d ```  ## 📁 文件完整性监控（FIM） 检测端点系统上未经授权的文件和注册表变更。  ## 🦠 VirusTotal 集成 对文件哈希值进行 VirusTotal 扫描以检测恶意文件。  ## 🌐 AlienVault OTX 集成 检查 IP 和域名是否匹配全球威胁情报源。  ## 🎯 MITRE ATT&CK 映射 将检测到的事件映射到攻击者战术和技术。  ## ⚡ 主动响应 使用预定义规则自动阻止恶意活动。  ## 🚨 使用场景 * 使用 EICAR 测试文件进行恶意软件检测 * 文件和注册表篡改检测 * 使用 OTX 检测恶意 IP * 可疑活动监控 ## 🛠️ 使用的工具与技术 * Wazuh * Docker * Windows 10/11 * VirusTotal API * AlienVault OTX API ## 📚 学习收获 * 如何在不同环境中部署和配置 Wazuh * 实际接触 SIEM 和端点安全监控 * 集成外部威胁情报（VirusTotal 与 OTX） * 理解 MITRE ATT&CK 框架及攻击映射 * 实现文件完整性监控（FIM） * 使用主动响应自动化事件响应 * 模拟真实攻击场景并分析告警 * 排查部署和集成问题 ## 结果 * 实现实时威胁检测与监控 * 通过威胁情报提升告警准确性 * 主动响应减少了人工干预 * 成功模拟多种攻击场景 ## 📄 报告 [查看完整报告](report/wazuh_project_report.pdf)

标签：AMSI绕过, Ask搜索, Cloudflare, DNS 解析, DNS通配符暴力破解, Docker, HTTP工具, MITRE ATT&CK, SEO: Wazuh 威胁检测, SEO: 端点响应实验室, VirusTotal, Wazuh, x64dbg, 主动响应, 告警丰富, 威胁响应, 威胁情报, 威胁检测, 子域名变形, 安全可视化, 安全运营中心, 安全防御评估, 实时检测, 开发者工具, 端点安全, 端点监控, 网络映射, 自动化响应, 补丁管理, 请求拦截, 逆向工具, 集中式监控架构