ZALO-DART/Wazuh-detection-lab

# Wazuh Detection Lab ## 描述 Este proyecto amplía el laboratorio base **Wazuh + Suricata Lab en VMware**, previamente implementado para centralizar eventos de seguridad con Wazuh, integrar Suricata como IDS y monitorear un agente Ubuntu y un agente Windows. Sobre esa infraestructura ya operativa, este repositorio se enfoca específicamente en la **creación de decoders y reglas personalizadas en Wazuh**, el **tuning de alertas** y el **mapeo de detecciones a MITRE ATT&CK**. ## 与基础实验室的关系 Este laboratorio de detección fue construido sobre el proyecto `Wazuh-suricata-lab`, en el cual se dejó funcionando la base técnica necesaria para este trabajo: - Despliegue de Wazuh Server en VMware - Integración de Ubuntu Server con Suricata y Wazuh Agent - Integración de Windows 10 con Wazuh Agent - Validación de ingestión de eventos y alertas en Wazuh Dashboard - Confirmación de dos agentes activos dentro de la plataforma Gracias a esa base, este repositorio se concentra en una capa más avanzada: **detección, correlación y afinamiento de alertas**. ## 项目目标 - Crear decoders personalizados en Wazuh - Diseñar reglas de detección personalizadas - Correlacionar eventos para identificar comportamientos sospechosos - Aplicar tuning para reducir ruido operativo - Mapear casos de uso a MITRE ATT&CK - Documentar evidencias técnicas orientadas a un entorno SOC ## 采用的架构 Este laboratorio se apoya sobre la infraestructura ya validada en el proyecto base: - **Wazuh Server** - **Ubuntu + Suricata + Wazuh Agent** - **Windows 10 + Wazuh Agent** - **Wazuh Dashboard** En esta fase del laboratorio, los eventos de prueba fueron generados de forma controlada desde el agente Ubuntu mediante `logger`, permitiendo validar el flujo completo de detección en Wazuh: **log -> decoder -> regla -> alerta** ## 使用的技术 - VMware Workstation - Wazuh - Suricata - Ubuntu Server - Windows 10 - Git - GitHub ## 实现的案例 ### 1. 身份验证失败 Detección de eventos de inicio de sesión fallido generados desde una fuente controlada. ### 2. 可能的暴力破解 Correlación de múltiples fallos de autenticación desde la misma dirección IP dentro de una ventana de tiempo determinada. ### 3. 本地用户创建 Detección de actividad relacionada con la creación de cuentas locales. ### 4. 权限提升 Detección de uso exitoso de privilegios elevados mediante `sudo`. ## 实现的规则 - **100500** – Inicio de sesión fallido - **100501** – Posible fuerza bruta - **100510** – Creación de usuario local - **100520** – Ejecución con privilegios elevados ## MITRE ATT&CK 映射 - **T1110** – Brute Force - **T1136.001** – Create Account: Local Account - **T1548** – Abuse Elevation Control Mechanism ## 警报优化 ### 优化前 Los eventos individuales de autenticación fallida generaban alertas repetitivas de baja prioridad, incrementando el ruido operativo. ### 优化后 Se mantuvo una regla base de severidad baja para cada autenticación fallida y se implementó una regla correlacionada que eleva la criticidad cuando se detectan múltiples fallos desde una misma IP en un periodo corto. ## 最终验证 La validación del laboratorio se realizó en dos etapas principales: ### 1. 使用 `wazuh-logtest` 验证 Se confirmó que los decoders interpretaban correctamente los eventos personalizados y que las reglas generaban las alertas esperadas: - `100500` – Inicio de sesión fallido - `100510` – Creación de usuario local - `100520` – Ejecución con privilegios elevados - `100501` – Posible ataque de fuerza bruta por correlación ### 2. 在 Wazuh Dashboard 中验证 Posteriormente, los eventos fueron generados desde el agente Ubuntu y visualizados en **Threat Hunting**, confirmando la generación real de alertas en el SIEM. ## 发现的问题与解决方案 Durante la implementación del laboratorio se presentaron varios ajustes técnicos: - Error inicial en `local_decoder.xml` por estructura XML incorrecta. - Uso incorrecto de nombres de decoder dentro de las reglas. - Ajuste de reglas para usar correctamente campos como `dstuser` en lugar de `user`. - Corrección de la regla correlacionada `100501` para utilizar `same_srcip`. - Validación de la correlación mediante `wazuh-logtest` antes de comprobar los eventos en el Dashboard. Estos ajustes permitieron estabilizar el flujo de detección y obtener alertas funcionales dentro del entorno Wazuh. ## 项目结构 - `decoders/`: decoders personalizados - `rules/`: reglas personalizadas - `scripts/`: generación de logs de prueba - `docs/`: documentación técnica y mapeo MITRE - `evidence/`: evidencias del laboratorio organizadas por configuración, validación con `wazuh-logtest` y validación en Wazuh Dashboard ## 证据 Las evidencias del laboratorio se encuentran en la carpeta `evidence/` y fueron organizadas en tres grupos: ### `01-config` Capturas de los componentes de configuración desarrollados para el laboratorio: - reglas personalizadas en `local_rules.xml` - decoders personalizados en `local_decoder.xml` - script `generate_test_logs.sh` utilizado para generar eventos de prueba ### `02-logtest` Capturas de validación realizadas con `wazuh-logtest`, donde se comprobó el flujo: **log -> decoder -> regla -> alerta** En esta sección se incluyen evidencias de las reglas: - `100500` – Inicio de sesión fallido - `100510` – Creación de usuario local - `100520` – Ejecución con privilegios elevados - `100501` – Posible ataque de fuerza bruta por correlación ### `03-dashboard` Capturas de validación en **Wazuh Dashboard / Threat Hunting**, donde se confirmó la visualización real de alertas generadas por el agente Ubuntu. Esta sección incluye evidencias de: - `100500` – Inicio de sesión fallido - `100501` – Posible ataque de fuerza bruta - `100510` – Creación de usuario local - `100520` – Ejecución con privilegios elevados - vista resumen de correlación entre eventos `100500` y `100501` ## 获得的经验 Este laboratorio permitió refor: - creación de decoders personalizados - diseño de reglas de detección - correlación de eventos en Wazuh - tuning para reducción de ruido - documentación técnica orientada a un entorno SOC - relación entre eventos observables y MITRE ATT&CK ## 未来改进 Como evolución del proyecto, se podría extender el laboratorio con: - casos de uso adicionales en Windows - integración con Sysmon - nuevas reglas correlacionadas - escenarios de threat hunting más amplios ## 作者 Proyecto desarrollado por **GONZALO M. PEREZ** como parte de un portafolio orientado a monitoreo, detección y análisis de eventos de seguridad.

标签：AMSI绕过, Cloudflare, Git, Metaprompt, MITRE ATT&CK, Suricata, VMware, Wazuh, Windows 10, 事件关联, 关联分析, 告警优化, 噪声减少, 威胁检测, 安全运营中心, 日志解析, 日志转发, 检测实验室, 现代安全运营, 网络安全研究, 网络映射, 自定义规则, 解码器, 证书伪造