Vibsterr99/detection-content-pack

# 检测内容包 一个基于 Wazuh SIEM 实验环境构建的检测工程组合，包含 Sysmon 端点遥测、Suricata 网络监控和 AWS CloudTrail 云遥测。包含 10 条映射到 ATT&CK 的 Sigma 检测规则，涵盖端点进程执行、持久化、凭据访问、防御规避和云权限提升——每条规则均通过受控模拟进行验证，并附有原始遥测证据和调优决策说明。 ## 实验架构 ``` ┌─────────────────────────────────────────────────────┐ │ Host Machine (Windows 11) │ │ VirtualBox + sigma-cli + AWS CLI │ └──────────────┬───────────────────────┬───────────────┘ │ │ ┌──────────▼──────────┐ ┌─────────▼──────────┐ │ SEC-LAB-01 │ │ WIN11-01 │ │ Ubuntu 24.04 │ │ Windows 11 │ │ 192.168.56.10 │ │ 192.168.56.21 │ │ │ │ │ │ Wazuh All-in-One │ │ Wazuh Agent │ │ - Manager │ │ Sysmon (v15.20) │ │ - Indexer │ │ Atomic Red Team │ │ - Dashboard │ │ │ │ Suricata (v7.0.3) │ │ │ └─────────────────────┘ └─────────────────────┘ │ ┌─────────▼──────────┐ │ WIN11-02 │ │ Windows 11 │ │ 192.168.56.22 │ │ │ │ Wazuh Agent │ │ (Brute-force │ │ target only) │ └─────────────────────┘ ``` ## 遥测来源 | 来源 | 捕获内容 | 检测规则 | |--------|-----------------|------------| | Sysmon Event ID 1 | 包含完整命令行、父进程、哈希值的进程创建 | 6 条检测规则 | | Sysmon Event ID 10 | 进程间内存访问（LSASS 凭据窃取） | 1 条检测规则 | | Windows 安全日志 | 账户创建、组更改、身份验证失败 | 2 条检测规则 | | AWS CloudTrail | 用于权限提升的 IAM API 调用 | 1 条检测规则 | | Suricata EVE JSON | 网络流、DNS、协议分析 | 威胁追踪 | ## 检测规则（10 条 Sigma 规则） | # | 检测名称 | ATT&CK | 遥测 | 级别 | |---|-----------|--------|-----------|-------| | 1 | 编码的 PowerShell 执行 | T1059.001 | Sysmon EID 1 | High | | 2 | PowerShell 下载 Cradle | T1059.001 / T1105 | Sysmon EID 1 | Medium | | 3 | 可疑的父子进程链 | T1218 | Sysmon EID 1 | High | | 4 | 计划任务创建 | T1053.005 | Sysmon EID 1 | Medium | | 5 | 恶意服务创建 | T1543.003 | Sysmon EID 1 + System 7045 | High | | 6 | LSASS 访问/转储尝试 | T1003.001 | Sysmon EID 10 | Critical | | 7 | 本地管理员账户创建 | T1136.001 / T1098 | Security 4720, 4732 | High | | 8 | 防火墙禁用 | T1562.004 | Sysmon EID 1 | High | | 9 | 暴力破解登录序列 | T1110 | Security 4625 | Medium | | 10 | 可疑的 IAM 权限变更 | T1098 (Cloud) | AWS CloudTrail | Critical | ## 验证方法 每条检测规则均通过以下两种方法之一进行了验证： - **Atomic Red Team** — 用于检测 #1 (T1059.001 测试 #15) 和检测 #6 (T1003.001 测试 #2) - **手动安全模拟** — 在隔离的实验环境中对所有其他检测执行受控命令 对于每条检测规则，本仓库包含：Sigma 规则、由 sigma-cli 生成的 KQL 和 SPL 转换、来自 Wazuh 的原始遥测屏幕截图、记录测试方法和结果的验证说明，以及清理步骤。 ## 调优示例 **检测 #1 (编码的 PowerShell)：** 原始规则遗漏了 `-E` 标志（-EncodedCommand 最短的 PowerShell 缩写形式）。在 Atomic Red Team 验证期间发现此问题。已在规则中添加 `-E` 变体。 **检测 #6 (LSASS)：** Sysmon Event ID 10 未被捕获。SwiftOnSecurity 配置将 ProcessAccess 设置为 onmatch:include，但未定义任何规则。通过在 Sysmon XML 配置中添加明确的 LSASS 目标定位来修复此问题。检测规则本身是正确的——遥测管道才是缺陷所在。 ## 真实内容与生成内容 根据本仓库的编写标准进行的诚实声明： - **来自活跃平台的真实遥测：** 所有 Wazuh 屏幕截图、存档证据和 Sysmon 事件均来自在实验室虚拟机上运行的实际模拟 - **生成的转换：** KQL 和 SPL 文件是由 Sigma 规则通过 sigma-cli 输出的。它们未在活跃的 Splunk 或 Sentinel 实例上运行过 - **真实的云证据：** CloudTrail 检测已在真实的 AWS 账户上使用实际的 IAM API 调用进行了验证 - **验证工具：** Atomic Red Team 测试已在实验室虚拟机上运行，并捕获了真实的遥测数据 ## 仓库结构 ``` detection-content-pack/ ├── README.md ├── detections/ │ ├── sigma/ # 10 Sigma rules (source of truth) │ ├── kql/ # 10 KQL conversions via sigma-cli │ └── spl/ # 10 SPL conversions via sigma-cli ├── validation/ │ ├── atomic-tests-run/ # Validation notes per detection │ ├── screenshots/ # Raw telemetry evidence │ └── before-after-tuning/ # Tuning change documentation ├── dashboards/ │ ├── wazuh/ # Wazuh dashboard screenshots │ └── detection-health/ # Validation status tracking ├── coverage-map/ │ └── attack-coverage-matrix.md └── docs/ ├── telemetry-sources.md ├── false-positive-notes.md └── rule-authoring-standards.md ``` ## 使用的工具 - **SIEM：** Wazuh 4.14.4（一体化部署） - **端点遥测：** Sysmon v15.20 搭配 SwiftOnSecurity 社区配置 - **网络遥测：** Suricata 7.0.3 搭配 Emerging Threats Open 规则 - **验证：** Atomic Red Team (invoke-atomicredteam PowerShell 模块) - **检测规则编写：** Sigma YAML - **转换：** sigma-cli 3.0.1 搭配 splunk 和 kusto 后端 - **云：** AWS CloudTrail (免费套餐) ## 在生产环境中我会采取的不同做法 - 从第一天起就部署包含 ProcessAccess 规则的、更全面的 Sysmon 配置 - 在网络 TAP 上设置专用的 Suricata 传感器，而不是在 SIEM 主机上运行它 - 将 CloudTrail 与 Wazuh 的 AWS 模块集成，以实现实时云检测，而不是手动进行 CLI 验证 - 在 SIEM 中原生构建关联规则，用于基于阈值的检测（如暴力破解） - 为每条检测添加响应预案——当警报触发时，分析师应该做什么

标签：AMSI绕过, Atomic Red Team, AWS CloudTrail, KQL, Metaprompt, Reconnaissance, Sigma规则, SPL, Suricata, Sysmon, Wazuh, 凭证访问, 协议分析, 威胁检测, 安全实验室, 安全检测工程, 安全运营, 扫描框架, 数据泄露检测, 权限提升, 检测规则转换, 现代安全运营, 目标导入, 私有化部署, 端点遥测, 紫队, 网络安全, 蜜罐验证, 防御规避, 隐私保护