Sterl1337/wazuh-detection-lab

# Wazuh 检测实验室 用于构建真实 Wazuh 家庭实验室的作品集仓库，旨在实践 SIEM 部署、Windows 端点监控、Sysmon 遥测数据收集以及蓝队文档编写。 ## 范围 本项目记录了一个小型但真实的实验室： - 托管单节点 Wazuh 部署的 Ubuntu Server VM - 已注册为活跃 Wazuh agent 的 Windows 11 主机 - 在 Windows 端点上安装了 Sysmon，以获取更丰富的进程和网络遥测数据 - 使用安全的验证活动来确认数据摄取、可见性以及与 ATT&CK 相关的事件覆盖范围 未使用任何恶意软件或破坏性 payload。测试活动仅限于安全的管理命令和遥测验证步骤。 ## 本项目证明了什么 - SIEM 部署与访问验证 - Windows agent 注册与健康状态验证 - Sysmon 与 Wazuh 的集成 - 基础威胁狩猎与面向 ATT&CK 的分析 - 蓝队文档规范 ## 实验室组件 - `Wazuh-Lab` - Ubuntu Server 24.04.4 LTS - 单节点 Wazuh 部署 - 桥接网络访问，用于浏览器和 agent 通信 - `Ryozen` - Windows 11 Home 端点 - Wazuh agent `v4.14.5` - 已安装 Sysmon 并转发 `Microsoft-Windows-Sysmon/Operational` ## 仓库布局 ``` wazuh-detection-lab/ README.md setup/ installation_notes.md agent_setup.md architecture.md rules/ custom_failed_login_rules.xml suspicious_powershell_rules.xml privilege_escalation_rules.xml test_events/ failed_logins.json powershell_events.json account_creation_events.json alerts/ sample_alert_001.md sample_alert_002.md diagrams/ wazuh_flow.mmd screenshots/ README.md docs/ mitre_mapping.md lessons_learned.md live_validation.md ``` ## 已完成的实时验证 在实验室中验证了以下项目： 1. 通过 HTTPS 从 Windows 主机访问了 Wazuh 仪表板 2. Windows agent `Ryozen` 成功注册并报告状态为 `active` 3. 已在 Windows 主机上安装 Sysmon 并确认其正在运行 4. 已将 Sysmon 事件通道收集功能添加到 Wazuh agent 配置中 5. 安全测试活动生成了与进程、网络和身份验证相关的遥测数据 6. 仪表板视图中已填充端点和与 ATT&CK 相关的数据 ## 使用的安全测试活动 在 Windows 端点上使用的良性验证命令示例： - PowerShell 进程执行 - 编码的 PowerShell 执行 - `whoami` - `nslookup example.com` - 临时文件的创建/删除操作 使用这些操作仅是为了验证日志流并提高威胁狩猎截图和报告的质量。 ## 建议的阅读顺序 1. 阅读 `setup/installation_notes.md` 2. 阅读 `setup/agent_setup.md` 3. 查看 `setup/architecture.md` 4. 阅读 `docs/live_validation.md` 5. 查看 `docs/mitre_mapping.md` 6. 查看 `rules/` 和 `alerts/` ## 作品集说明 本仓库旨在展示在一个小型且易于说明的实验室环境中对 SIEM 和端点监控的实际熟悉程度。其范围有意控制在可以在面试中清晰阐述的程度。

标签：AMSI绕过, Cloudflare, CSV导出, MITRE ATT&CK, MITRE 映射, RFI远程文件包含, SIEM 部署, Sysmon, Sysmon 遥测, Wazuh, Windows 安全, 威胁检测, 安全实验室, 安全文档, 安全警报, 安全运营, 扫描框架, 端点安全, 终端监控, 网络安全, 蓝队文档, 补丁管理, 隐私保护