Anshyaansh/Wazuh-SOC-Sigma-Rules-Detection-Lab

# 🛡️ Wazuh SOC Sigma-Rules | 检测实验室 **作者：** Devansh Jaiswal 欢迎来到 **MiniSOC**，这是一个实弹威胁检测实验室，旨在模拟、检测和分析常见的攻击者技术。本项目超越了静态理论，提供了一个功能齐全的环境，在这里，自定义的 Sigma 和 Wazuh 规则可以实时捕获模拟攻击。 本仓库包含手工编写的、直接映射到 **MITRE ATT&CK®** 框架的检测规则，并附带了执行证明以及重建该基础设施的完整指南。 ## 🏗️ 实验室架构 该环境依赖于仅主机（Host-Only）和 NAT 网络配置，以安全隔离攻击，同时允许日志转发。 * **SIEM / 防御引擎：** 运行 Wazuh Manager 的 Ubuntu 22.04 * *IP 地址：* `192.168.56.105` * **受害机器：** 运行 Wazuh Agent 和 Sysmon 的 Windows 10 Pro * *IP 地址：* `192.168.56.104` ## 📁 仓库结构 本项目通过明确的划分来组织基础设施设置、检测工程逻辑和执行证明： ``` 📦 MiniSOC-Active-Defense ┣ 📂 Setup # Detailed lab configuration and networking guides ┣ 📂 sigma-rules # Raw, portable Sigma rules for SIEM deployment ┗ 📂 Attack & Detection # Screenshots and logs proving the alerts fired ┣ 📂 powershell nop # PowerShell obfuscation attack proofs ┣ 📂 volume shadow copy # Ransomware precursor attack proofs ┣ 📂 attack recon # Post-compromise discovery proofs ┣ 📂 schedule tasks # Persistence mechanism proofs ┗ 📂 wevtutil # Defense evasion (log clearing) proofs ```

标签：AMSI绕过, Cloudflare, Conpot, DNS 反向解析, HTTP/HTTPS抓包, MITRE ATT&CK, PowerShell安全, Sigma规则, SOC实验室, Sysmon, Wazuh, Windows安全, 勒索软件防护, 威胁检测, 子域名变形, 安全运营中心, 实验环境, 态势感知, 攻击复现, 攻击模拟, 目标导入, 私有化部署, 网络安全, 网络安全实验, 网络映射, 蜜罐, 证书利用, 防御规避, 隐私保护, 驱动签名利用