AntNegron/Wazuh-AD-Detection-Engineering

# Wazuh-AD-Detection-Engineering 一个检测工程实验室，专注于将 Windows Defender 日志集成到 Wazuh 中，并针对 MITRE ATT&CK 技术进行检测验证。 检测工程实验室：Wazuh SIEM 与 Active Directory 集成 概述 该项目涉及在多虚拟机 Active Directory 环境中部署集中式 Wazuh SIEM，以监控企业安全遥测数据。核心目标是通过集成 Windows Defender Operational 日志并使用 Atomic Red Team 针对特定 MITRE ATT&CK 技术验证防御态势，从而增强可见性。 技术环境： SIEM：Wazuh Manager (Ubuntu) 端点：Windows Server (域控制器) 和 Windows 10 工作站。 日志工具：Sysmon、Windows Event Forwarding 和 Windows Defender。 攻击模拟：Atomic Red Team 和自定义 PowerShell 脚本。 关键修改与配置 Windows Defender 日志集成：通过将 Windows Defender 事件通道添加为新的日志源，我成功扩展了 Wazuh 的监控范围。这为恶意软件检测、修复措施以及实时端点防护事件提供了关键的可见性。 ### 安全实验与验证过的检测 我执行了三个主要实验来测试环境的检测能力： | MITRE ID | 技术 | 模拟工具 | 检测结果 | | :--- | :--- | :--- | :--- | | **T1566.001** | 钓鱼：鱼叉式钓鱼附件 | Atomic Red Team | 确认记录了恶意附件的执行。 | | **T1047** | Windows Management Instrumentation (WMI) | Sysmon / MITRE | 检测到用于维持权限的未经授权的 WMI 执行。 | | **T1059.003** | PowerShell 滥用 | 自定义脚本 / Defender | 验证了 Defender 对恶意 PowerShell 命令的响应。 | [[Sprint 11] Plan Proposal {Anthony Negron}.pdf 的副本](https://github.com/user-attachments/files/27486184/Copy.of.Sprint.11.Plan.Proposal.Anthony.Negron.pdf)

标签：Active Directory, AD, AI合规, AMSI绕过, Atomic Red Team, Cloudflare, MITRE ATT&CK, Object Callbacks, PB级数据处理, Plaso, PowerShell安全, SOC实验室, Sysmon, Wazuh, WEF, Windows 10, Windows Defender, Windows事件转发, WMI持久化, 企业安全架构, 域控制器, 威胁检测, 安全可见性, 安全实验, 安全运维, 攻击模拟, 数据展示, 数据泄露检测, 日志集成, 活动目录, 端点安全, 红队, 终端保护, 网络钓鱼, 补丁管理, 驱动签名利用