ZALO-DART/Wazuh-malware-detection-lab

# 实验室：Wazuh 恶意软件检测      实现了一个专注于验证 Windows 终端通过集成 Microsoft Defender 与 Wazuh 检测恶意软件的实验室，使用 EICAR 作为安全的测试工件。 ## 执行摘要 本项目文档记录了一个专注于终端层面反病毒事件可见性的网络安全实验室的实施与验证。 已验证的用例如下： **EICAR 测试文件 -> Microsoft Defender -> Windows 事件通道 -> Wazuh 代理 -> Wazuh 管理器 -> 在 Wazuh 仪表板中可见的告警** 目标不是使用真实的恶意软件，而是以受控和专业的方式展示如何在 Windows 主机上生成反恶意软件事件，并将其收集、处理和可视化到 Wazuh 中。 ## 目标 实施并验证一个实验室，使其能够： - 监控带有 Wazuh 代理的 Windows 终端 - 收集 Microsoft Defender 事件通道 - 使用 EICAR 生成安全检测 - 确认事件被 Wazuh 摄取 - 记录完整的流程并提供技术证据 ## 范围 本实验室专注于验证终端的监控和检测防御能力。 不包括： - 真实恶意软件 - 防病毒软件绕过 - 进攻性开发 - 持久化 - 横向移动 - 完整的攻击链 验证仅使用测试文件 **EICAR** 进行，该文件用于在不造成操作损害的情况下测试防病毒解决方案的功能。 ## 与基础实验室的关系 本实验室建立在已有技术基础上： - `Wazuh-suricata-lab` - `Wazuh-detection-lab` - `Soc-alert-enrichment` 在这些项目中，基础设施已就绪，可扩展此用例： - 在 VMware 中部署 Wazuh 服务器 - 注册 Linux 和 Windows 代理 - 验证 Wazuh 仪表板中的事件摄取 - 技术文档记录实验室 - 专注于监控、检测和 SOC 分析的方法 因此，新仓库专注于使用 Microsoft Defender 作为事件源，专门针对 **Windows 终端恶意软件检测**。 ## 使用的架构 实验室架构复用了 VMware 环境中先前部署的堆栈： - **Wazuh 服务器** - **Wazuh 仪表板** - **带有 Wazuh 代理的 Windows 10 终端** - **Microsoft Defender 防病毒** ### 逻辑流程 ``` EICAR.txt ↓ Microsoft Defender detecta el archivo ↓ Windows registra el evento en el canal Defender Operational ↓ Wazuh Agent recolecta el evento ↓ Wazuh Manager lo procesa ↓ La alerta queda visible en Wazuh Dashboard / Threat Hunting / índice de alertas ``` ## 使用的技术 - Wazuh - Microsoft Defender 防病毒 - Windows 10 - VMware Workstation - Git - GitHub - PowerShell ## 验证的环境 ### Windows 终端 - **主机名:** `DESKTOP-35HVUL9` - **代理 ID:** `002` - **IP:** `192.168.254.132` - **操作系统:** `Microsoft Windows 10 Pro 10.0.19045.3803` - **Wazuh 代理版本:** `v4.14.4` ### 安全平台 - **Wazuh 管理器 / 仪表板** - **Microsoft Defender 防病毒** - **VMware** 作为实验室环境 ## Windows 代理配置 为了在 Wazuh 中收集 Microsoft Defender 事件，需向代理的 `ossec.conf` 文件添加以下配置块： ``` Microsoft-Windows-Windows Defender/Operational eventchannel ``` 应用更改后，重启代理服务以开始收集配置的通道。 ### 代理重启 ``` Restart-Service -Name wazuh ``` ## 使用 EICAR 进行安全验证 实验室验证使用 **EICAR** 测试文件，以确认 Microsoft Defender 能检测到该工件并在 Wazuh 中生成可见的遥测数据。 ### 使用的字符串 ``` X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* ``` ### 实施步骤 1. 在 Windows 终端桌面上创建文件 `EICAR.txt`。 2. 确认文件正确存在。 3. Microsoft Defender 检测到该工件为威胁。 4. Defender 应用 **隔离** 操作。 5. 事件在通道 `Microsoft-Windows-Windows Defender/Operational` 中可见。 6. Wazuh 摄取该事件并在仪表板中呈现。 ## 逐步实施 ### 1. 验证 Wazuh 代理 确认代理服务正在运行： ``` Get-Service wazuh ``` ### 2. 验证 Microsoft Defender 状态 确认 Defender 已启用实时保护和反恶意软件服务： ``` Get-MpComputerStatus | Select-Object AMServiceEnabled, AntivirusEnabled, RealTimeProtectionEnabled ``` ### 3. 配置 Defender 通道 编辑文件： ``` C:\Program Files (x86)\ossec-agent\ossec.conf ``` 并添加对应的 `localfile` 块以包含 Defender 通道。 ### 4. 代理重启 ``` Restart-Service -Name wazuh ``` ### 5. 验证事件通道 确认 Defender 通道正在生成事件： ``` Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" -MaxEvents 10 | Select-Object TimeCreated, Id, ProviderName, LevelDisplayName ``` ### 6. 创建 EICAR 文件 在用户桌面上创建文件： ``` $eicar = "$env:USERPROFILE\Desktop\EICAR.txt" $payload = 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' Set-Content -Path $eicar -Value $payload -NoNewline -Encoding ascii ``` ### 7. 确认文件 ``` Test-Path $eicar Get-Item $eicar ``` ### 8. Defender 检测文件 文件被正确识别后，Microsoft Defender 对 `EICAR.txt` 执行隔离操作。 ### 9. 验证通道中的事件 查询最近事件并确认检测： ``` Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" -MaxEvents 20 | Format-List TimeCreated, Id, ProviderName, LevelDisplayName, Message ``` ### 10. 在 Wazuh 仪表板中验证 最后，在 **Threat Hunting** 中查询 Wazuh 仪表板中的事件，观察代理详情、隔离操作和威胁类别。 ## 获得的结果 验证成功。 ### Microsoft Defender 中的检测 观察到具有以下特征的检测： - **威胁名称:** `Virus:DOS/EICAR_Test_File` - **类别:** `Virus` - **严重性:** `严重` - **路径:** `C:\Users\ZALO\Desktop\EICAR.txt` - **检测来源:** `实时保护` - **操作:** `隔离` ### Wazuh 中的可见性 Wazuh 正确处理了由 Microsoft Defender 生成的事件，并保留了用于分析的元数据，包括： - `agent.id: 002` - `agent.name: DESKTOP-35HVUL9` - `agent.ip: 192.168.254.132` - `manager.name: wazuh-server` - `data.win.eventdata.action Name: 隔离` - `data.win.eventdata.category Name: 病毒` - `data.win.eventdata.severity Name: 严重` - `product Name: Microsoft Defender 防病毒` 这证实了端到端用例的可见性。 ## 证据 实验室的主要证据存储在 `evidence/` 文件夹中。 ### 生成的证据 - `01_wazuh_agent_active.png` 在 Wazuh 中状态为 **active** 的 Windows 代理 - `02_defender_eventchannel_config.png` 包含通道 `Microsoft-Windows-Windows Defender/Operational` 的 `ossec.conf` 片段 - `03_defender_channel_events.png` 在 PowerShell 中可见的 Defender 通道事件 - `04_eicar_file_created.png` 在终端桌面上成功创建的 `EICAR.txt` 文件 - `05_defender_detection.png` 检测到 `Virus:DOS/EICAR_Test_File` 并执行隔离操作的证据 - `06_wazuh_dashboard_alert.png` 在 Wazuh 仪表板 / Threat Hunting 中可见的事件 - `07_wazuh_alert_details_json.png` 包含代理详情、采取的操作、严重性和产品的 JSON 格式事件详情 ## 项目结构 ``` Wazuh-malware-detection-lab/ ├── README.md ├── configs/ │ └── windows-agent/ │ └── ossec.conf.example ├── docs/ │ ├── architecture.md │ ├── event-flow.md │ ├── findings.md │ └── mitre-mapping.md ├── evidence/ │ ├── 01_wazuh_agent_active.png │ ├── 02_defender_eventchannel_config.png │ ├── 03_defender_channel_events.png │ ├── 04_eicar_file_created.png │ ├── 05_defender_detection.png │ ├── 06_wazuh_dashboard_alert.png │ └── 07_wazuh_alert_details_json.png └── scripts/ ``` ## 主要发现 在实施和验证过程中确认： - Windows 终端能正确向管理器报告 - Windows Defender 通道可以在不进行复杂配置的情况下被收集 - Microsoft Defender 能实时检测 EICAR 文件 - Wazuh 能正确摄取并呈现终端遥测数据 - 该集成记录一个有效、可重现且安全的 SOC 使用案例 ## 实验室价值 本实验室为组合带来了价值，因为它展示了： - Windows 终端监控 - Microsoft Defender 与 Wazuh 的实际集成 - 反恶意软件检测的安全验证 - 文档记录和技术证据的能力 - 从工件到 SIEM/XDR 告警的可追溯性 ## 限制 本实验室存在以下限制： - 使用测试文件而非真实恶意软件 - 不代表完整的入侵 - 依赖 Microsoft Defender 作为主要遥测源 - 尚未集成 Sysmon 以丰富终端上下文 - 不包含额外的响应自动化 - 不评估持久化、连锁执行或横向移动 ## 后续改进 作为项目的后续阶段，可以实现： - 与 **Sysmon** 集成以丰富主机可见性 - 针对反病毒事件的特定仪表板 - 向 enrichment 管道导出告警 - Defender 事件与其他 Windows 日志的关联 - 与 VirusTotal 或 YARA 的后续集成 - 隔离后事件分析 ## MITRE ATT&CK 与分析上下文 本实验室并非旨在模拟完整的进攻性战役。其价值在于验证检测和监控能力。 MITRE 映射应被视为 **参考**，尤其是在可疑文件到达终端并被防病毒软件检测的场景中。 可能的参考上下文： - **TA0002 - Execution** - **T1204 - User Execution** - **T1204.002 - Malicious File** ## 结论 本项目成功验证了 **Microsoft Defender** 与 **Wazuh** 之间的集成，用于在 Windows 终端上检测恶意软件。 流程端到端展示： - 创建测试文件 - Defender 检测 - 隔离操作 - 事件记录在 Windows 中 - Wazuh 摄取事件 - 在仪表板中可视化告警 结果通过在已运行的 Wazuh 架构中添加终端监控和检测的实际证据，增强了组合价值。 ## 作者 **GONZALO M. PEREZ** 本项目作为面向安全监控、终端检测、SOC 分析和 Wazuh 可见性的组合展示的一部分开发。

标签：AI合规, EICAR, FTP漏洞扫描, Microsoft Defender, VMware, Wazuh, Windows 10, Windows Endpoint, 事件收集, 告警验证, 安全编排, 实验室环境, 日志通道, 漏洞靶场, 端点安全, 网络安全实验室, 网络安全研究, 补丁管理, 防御检测