NourKhalil0/homelab-detection

# 家庭实验室检测工程 一个动手实践的检测工程实验室，我在其中模拟真实的攻击技术，并构建映射到 MITRE ATT&CK 的检测规则。使用免费/开源工具在家中搭建。 ## 实验室架构  ## 我所做的工作 我搭建这个环境是为了真正了解攻击在日志级别是什么样子，而不仅仅是纸上谈兵。我使用 Atomic Red Team 执行特定的攻击技术，然后尝试编写 Wazuh 规则来捕获它们。有些一次就成功了，有些则经过了大量调优以避免误报。 | MITRE ID | 技术 | 工具 | 状态 | |----------|-----------|------|--------| | T1059.001 | PowerShell 执行 | Atomic Red Team | 已检测 | | T1059.003 | Windows 命令行 Shell | Atomic Red Team | 已检测 | | T1110.001 | 密码喷洒 | 自定义脚本 | 已检测 | | T1078 | 有效账户 | 手动 | 已检测 | | T1003.001 | LSASS 内存转储 | Atomic Red Team | 已检测 | | T1055 | 进程注入 | Atomic Red Team | 部分检测 | | T1053.005 | 计划任务 | Atomic Red Team | 已检测 | ## 项目结构 ``` homelab-detection/ README.md docs/ lab-setup.md - how I set everything up wazuh-config.md - custom Wazuh rules I wrote architecture.svg - lab architecture diagram detections/ sigma/ - Sigma rules for each technique kql/ - KQL queries for Sentinel (bonus) scripts/ atomic-runner.ps1 - script to run all tests in sequence screenshots/ - evidence of alerts firing ``` ## 设置概述 - VirtualBox 用于所有虚拟机 - Wazuh (开源 SIEM) 用于日志收集和告警 - 在 Windows 虚拟机上使用带有 SwiftOnSecurity 配置的 Sysmon - 在 Windows 虚拟机上使用 Atomic Red Team 模拟攻击 - 以 Wazuh XML 格式编写的自定义检测规则 完整的设置步骤请参见 [docs/lab-setup.md](docs/lab-setup.md)。 ## 关键收获 PowerShell 几乎参与了所有事情。Sysmon Event ID 1 (进程创建) 是你捕获大多数活动的地方。一旦你过滤掉来自 Windows Defender 和其他合法工具的干扰信息，LSASS 转储实际上非常容易被 Sysmon Event ID 10 (进程访问) 检测到。事后看来，密码喷洒非常明显——来自单一 IP 的大量 4625 事件很难被忽略，但如果你想区分是密码错误还是用户名错误，子状态码就显得非常重要。 ## 工具 - Wazuh - https://wazuh.com - Sysmon - https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon - Atomic Red Team - https://github.com/redcanaryco/atomic-red-team - MITRE ATT&CK - https://attack.mitre.org - Sigma - https://github.com/SigmaHQ/sigma

标签：AI合规, AMSI绕过, Atomic Red Team, BurpSuite集成, Cloudflare, Conpot, Homelab, IPv6, KQL, Libemu, MITRE ATT&CK, OpenCanary, PowerShell, Sigma规则, SSH蜜罐, Sysmon, VirtualBox, Wazuh, Windows安全, 告警调优, 威胁检测, 安全取证, 安全运营, 家庭实验室, 密码喷射, 开源SIEM, 扫描框架, 攻击模拟, 数据泄露检测, 目标导入, 网络安全, 蓝军演练, 虚拟化安全, 计划任务, 进程注入, 隐私保护, 驱动签名利用