Jazz00001/Windows-Detection-Engineering-Lab-Wazuh-Sysmon-MITRE-ATT-CK

GitHub: Jazz00001/Windows-Detection-Engineering-Lab-Wazuh-Sysmon-MITRE-ATT-CK

基于 Wazuh 和 Sysmon 的 Windows 检测工程实验项目,展示自定义 SIEM 检测规则从创建、验证到 MITRE ATT&CK 映射的完整流程。

Stars: 0 | Forks: 0

# Windows 检测工程实验 — Wazuh、Sysmon 与 MITRE ATT&CK # 概述 本项目通过专注于 Windows 检测工程,扩展了我的企业 SOC 实验室。它使用 Windows 端点遥测、Sysmon、Windows 安全日志、Windows Defender 事件和 Atomic Red Team 框架活动,验证了 5 个自定义 Wazuh 检测规则。 本项目的目标是展示如何通过 Wazuh SIEM/XDR 创建、测试、映射到 MITRE ATT&CK、记录和审查自定义检测逻辑。 ## 这是一个受控的本地实验室项目。未执行任何真实的恶意软件、凭据窃取、勒索软件或未经授权的测试。 # 架构 ![Windows 检测工程实验室架构](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/06d17a6bfb081813.png) 该实验室是使用受控的本地虚拟环境构建的。Windows 端点遥测通过 Sysmon、Windows 事件日志和 Wazuh 代理进行收集。事件被转发到 Wazuh 管理器,经过解析、关联,与内置和自定义规则进行匹配,然后通过 Wazuh 仪表板、安全事件、发现/JSON 视图以及 MITRE ATT&CK 映射进行审查。 # 实验室环境 ![实验室架构](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/faa7a7cbc1081814.png) | 组件 | 技术 | |---|---| | SIEM/XDR | Wazuh 4.7.5 | | 端点 | Windows 10 | | 端点遥测 | Sysmon + Windows 事件日志 | | 附加端点 | Ubuntu 22.04.5 | | 虚拟化 | VirtualBox | | 网络 | 仅主机实验室网络 | | 检测映射 | MITRE ATT&CK | | 证据 | Wazuh 仪表板、JSON 警报、截图 | ## 项目目标 - 构建自定义 Wazuh 检测规则。 - 使用受控的 Windows 活动验证检测。 - 将检测映射到 MITRE ATT&CK 技术。 - 从 Wazuh 警报和 JSON 字段中捕获证据。 - 记录测试命令、误报、分类步骤和回滚过程。 - 以整洁的、适合作品集展示的 GitHub 格式呈现项目。 # 检测覆盖范围 ## | ID | 检测内容 | 自定义规则 | 日志源 | MITRE ATT&CK | |---|---|---|---|---| | DET-001 | PowerShell 编码命令执行 | 100100 | Sysmon / Windows 进程遥测 | T1059.001 | | DET-002 | 本地用户账户创建 | 100101 | Windows 安全日志 | T1136.001 | | DET-003 | Windows 服务创建/修改 | 100102 | Windows 服务 / 进程遥测 | T1543.003 | | DET-009 | EICAR 恶意软件测试文件检测 | 100108 | Windows Defender Operational | T1204.002 | | DET-010 | Atomic Red Team 框架活动 | 100109 | Sysmon Event ID 1 | T1059.001 | # 检测工程工作流 1. 选择可疑行为并将其映射到 MITRE ATT&CK。 2. 在 Windows 10 实验虚拟机上生成受控遥测。 3. 确认在 Windows 事件查看器或 Sysmon 日志中生成了事件。 4. 确认 Wazuh 接收并解析了该事件。 5. 识别相关的内置 Wazuh 规则和事件字段。 6. 创建自定义 Wazuh 规则层。 7. 重启并验证 Wazuh 管理器。 8. 重新运行测试活动。 9. 确认自定义规则在 Wazuh 安全事件中触发。 10. 审查展开的 JSON 警报字段。 11. 捕获屏幕截图作为验证证据。 12. 记录误报、调优说明和分析师分类步骤。 # 已验证的检测 ## DET-001:PowerShell 编码命令执行 此检测可识别 PowerShell 编码命令执行活动,攻击者可利用此活动混淆恶意命令并规避基本的命令行审查。 | 字段 | 值 | |---|---| | 自定义规则 | 100100 | | MITRE 技术 | T1059.001 | | 战术 | 执行 | | 日志源 | Sysmon / Windows 进程遥测 | | 测试命令 | `powershell.exe -EncodedCommand` | | 状态 | 已检测 | 证据: ![PowerShell 警报](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/2b06f0aecd081815.png) ## DET-002:本地用户账户创建 此检测可识别本地账户创建活动,攻击者可利用该活动在获得系统访问权限后实现持久化。 | 字段 | 值 | |---|---| | 自定义规则 | 100101 | | MITRE 技术 | T1136.001 | | 战术 | 持久化 | | 日志源 | Windows 安全日志 | | 测试命令 | `New-LocalUser` | | 状态 | 已检测 | 证据: ![本地用户](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/4366cfd445081815.png) ## DET-003:Windows 服务创建/修改 此检测可识别 Windows 服务创建或修改活动,这些活动可能被滥用于持久化或权限提升。 | 字段 | 值 | |---|---| | 自定义规则 | 100102 | | MITRE 技术 | T1543.003 | | 战术 | 持久化 / 权限提升 | | 日志源 | Sysmon / Windows 事件日志 | | 测试命令 | `sc.exe create` | | 状态 | 已检测 | 证据: ![服务创建警报](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/cccac0c23e081816.png) ## DET-009:Windows Defender 恶意软件测试检测 此检测可识别由安全 EICAR 测试文件生成的 Windows Defender 恶意软件测试遥测。它演示了从内置 Wazuh Defender 检测中链接的自定义规则。 | 字段 | 值 | |---|---| | 自定义规则 | 100108 | | MITRE 技术 | T1204.002 | | 战术 | 用户执行 | | 日志源 | Windows Defender Operational 日志 | | 测试方法 | EICAR 测试文件 | | 状态 | 已检测 | 证据: ![Defender EICAR](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/879ead8745081817.png) ## DET-010:Atomic Red Team 框架活动 此检测可识别 Atomic Red Team 框架活动,该框架通常用于受控的对手模拟和基于 MITRE ATT&CK 的检测验证。在企业环境中,意外的 Atomic Red Team 执行可能表明存在未经授权的安全测试或可疑的基于 PowerShell 的活动。 | 字段 | 值 | |---|---| | 自定义规则 | 100109 | | MITRE 技术 | T1059.001 | | 战术 | 执行 | | 日志源 | Sysmon Event ID 1 | | 测试命令 | `Invoke-AtomicTest T1059.001 -ShowDetailsBrief` | | 状态 | 已检测 | 证据: ![Atomic](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/ea672c8601081818.png) # MITRE 与 ATT&CK 证据截图 ## | 检测内容 | 证据 | |---|---| | DET-001 PowerShell 编码命令 | ![powershell](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/82382f69b7081818.png) | | DET-002 本地用户账户创建 | ![Local user](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/924a8b7758081819.png) | | DET-003 Windows 服务创建/修改 | ![Creation alert](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/6ad856fce4081819.png) | | DET-009 EICAR 恶意软件测试检测 | ![EICAR](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/b454297703081820.png) | | DET-010 Atomic Red Team 框架活动 | ![Atomic](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/361301e9b3081821.png) | # 文档 | 文档 | 用途 | |---|---| | [检测说明](docs/Detection-Notes.pdf) | 解释项目目标、工作流、已实施的检测和经验教训 | | [分析师分类指南](docs/Analyst-Triage-Guide.pdf) | 为每项检测提供 SOC 风格的分类问题和步骤 | | [回滚计划](docs/Rollback-Plan.pdf) | 记录如何安全移除或回滚自定义 Wazuh 规则 | | [验证矩阵](validation/validation-matrix.md) | 将检测映射到命令、规则、MITRE 技术、状态和证据 | | [测试命令](validation/test-commands.md) | 列出用于生成遥测的受控命令 | | [误报调优说明](validation/False-Positive-Tuning-Notes.pdf) | 记录可能的误报及调优注意事项 | # 展示的技能 - Wazuh SIEM/XDR 规则创建 - Windows 端点检测工程 - Sysmon 遥测分析 - Windows 安全事件审查 - Windows Defender 事件监控 - Atomic Red Team 验证 - MITRE ATT&CK 映射 - 警报分类文档记录 - 误报调优 - 证据脱敏与安全实验室文档记录 # 安全与保障提示 本项目在受控的本地实验室环境中构建,用于网络安全学习和作品集展示。 命令和测试活动仅在授权的实验室系统上执行。EICAR 测试文件是一个安全的行业标准恶意软件测试字符串,用于验证防病毒和检测工作流。 未针对任何真实的生产系统进行测试。 ## 免责声明 本仓库仅用于教育和防御性网络安全目的。检测逻辑、截图和验证步骤旨在展示蓝队工程技能、SOC 调查实践和安全的 SIEM 规则开发。
标签:AMSI绕过, Atomic Red Team, ATT&CK映射, Cloudflare, Conpot, GitHub安全项目, MITRE ATT&CK, SOC实验室, Sysmon, VirtualBox, Wazuh, Windows 10, Windows事件日志, Windows安全, 企业安全架构, 威胁检测, 安全信息与事件管理, 安全告警, 安全实验环境, 安全测试, 安全演练, 安全运营中心, 安全防守, 安全靶场, 搜索引擎爬取, 攻击性安全, 数据展示, 数据泄露检测, 模拟攻击, 端点安全, 红队, 网络安全, 网络映射, 自定义检测规则, 虚拟化技术, 补丁管理, 速率限制处理, 隐私保护