Darshak080/wazuh-detection-rules

GitHub: Darshak080/wazuh-detection-rules

基于 Wazuh 的自定义安全检测规则集合,涵盖 Web 攻击、侦察、身份验证滥用、恶意软件及攻击活动的检测,并映射 MITRE ATT&CK 框架。

Stars: 0 | Forks: 0

# Wazuh 检测规则 — 检测工程项目集 ![Wazuh](https://img.shields.io/badge/SIEM-Wazuh-blue) ![安全](https://img.shields.io/badge/Domain-Security-green) ![检测工程](https://img.shields.io/badge/Focus-Detection%20Engineering-red) ![MITRE ATT\&CK](https://img.shields.io/badge/Framework-MITRE%20ATT%26CK-orange) ## 概述 本仓库包含精心编制的自定义检测规则,旨在使用 **Wazuh** 识别安全运营中心 (SOC) 环境中的可疑和恶意活动。 这些规则展示了用于监控 Web 攻击、侦察尝试、身份验证滥用、恶意软件活动以及自动化攻击活动的真实世界检测工程技术。 本项目反映了以下领域的实战 SOC 经验: * 检测工程 * 安全监控 * 事件调查 * 威胁检测 * 日志分析 * 安全自动化 本仓库中的所有示例均已进行脱敏处理,仅供演示之用。 ## 目标 本项目的目的是展示实用的检测工程能力,包括: * 开发自定义 Wazuh 检测规则 * 识别漏洞利用尝试 * 检测侦察活动 * 监控身份验证滥用 * 检测自动化攻击活动 * 将检测结果映射到 MITRE ATT&CK * 实施基于关联的检测 * 构建可用于生产环境的安全监控逻辑 ## 检测类别 ### Web 攻击检测 检测针对 Web 应用程序和服务器的漏洞利用尝试。 示例: * 命令注入 * 目录遍历 * 远程代码执行 (RCE) * 框架漏洞利用 * PHP 漏洞利用 * 应用程序漏洞利用 ### 侦察检测 检测攻击者试图发现敏感文件或系统错误配置的行为。 示例: * `.env` 文件访问尝试 * `.git` 仓库枚举 * 配置文件暴露 * 调试接口发现 * 信息泄露尝试 ### 恶意软件与僵尸网络检测 检测针对网络服务的已知恶意模式和僵尸网络活动。 示例: * IoT 僵尸网络漏洞利用 * 恶意软件命令执行 * 可疑的自动化请求 * 已知的恶意行为模式 ### 身份验证攻击检测 检测对身份验证系统的滥用和账户接管尝试。 示例: * 暴力破解攻击 * 凭证填充 * 登录端点滥用 * 重复的身份验证尝试 ### 攻击活动检测 使用关联和频率逻辑检测协调或自动化的攻击行为。 示例: * 来自单一源的大规模扫描 * 重复的攻击尝试 * 自动化漏洞利用活动 * 由机器人驱动的侦察 ## 仓库结构 ``` wazuh-detection-rules/ rules/ web_attacks.xml recon_detection.xml malware_detection.xml authentication_attacks.xml campaign_detection.xml test_logs/ command_injection.log directory_traversal.log bruteforce.log docs/ rule_logic.md screenshots/ ``` ## 检测规则示例 ``` 31151 (?i)(\||;|&&|\$\(|`) Possible command injection attempt detected in HTTP request T1059 ``` ## 攻击日志示例 ``` 192.168.1.100 - - [22/Apr/2026:10:10:10 +0000] "GET /cgi-bin/test.cgi?cmd=ls;cat+/etc/passwd HTTP/1.1" 200 123 "-" "curl/7.68.0" ``` ## 使用的检测技术 本仓库展示了在生产 SOC 环境中常用的检测工程技术。 这些包括: * PCRE2 模式匹配 * 规则链 * 基于频率的关联 * 源 IP 追踪 * 行为检测 * 日志模式分析 * 事件关联 * MITRE ATT&CK 映射 ## 展示的技能 检测工程 安全监控 威胁检测 事件检测 日志分析 SIEM 工程 安全运营 规则开发 安全告警分类 攻击检测 ## 使用的技术 Wazuh Linux PCRE2 MITRE ATT&CK 安全监控 日志分析 检测工程 ## 用例 本项目展示的检测能力适用于: * 安全运营中心 (SOC) * 检测工程团队 * 事件响应团队 * 威胁监控环境 * 安全工程职位 * 蓝队运营 ## 截图(待添加) 添加截图,例如: * 触发的 Wazuh 告警 * 规则匹配事件 * 检测仪表盘视图 * 告警调查工作流程 * 主动响应执行 示例文件名: ``` alert_example.png dashboard_view.png rule_trigger_event.png ``` ## 未来改进 * 增加更多检测规则 * 威胁情报集成 * 自动化响应工作流程 * 仪表盘可视化增强 * 检测调优与优化 * 误报减少逻辑 ## 免责声明 本仓库中的所有检测规则、日志和示例均已进行脱敏处理,仅供教育和演示之用。 本仓库中不包含任何生产系统、客户端环境、内部基础设施或敏感数据。
标签:AMSI绕过, CISA项目, Cloudflare, MITRE ATT&CK, PHP安全, Wazuh, Wazuh规则定制, Web安全, XXE攻击, 侦察检测, 命令注入, 威胁检测, 安全运营, 实时处理, 扫描框架, 攻击关联分析, 红队行动, 编程工具, 网络安全, 网络安全审计, 自动化攻击, 蓝队分析, 远程代码执行, 隐私保护