venkatavishnuvardhana/Wazuh-Malware-Detection-Lab

# 企业端点遥测管道与检测实验室：Wazuh与Sysmon ## 执行摘要 本项目演示了端到端、集中式安全信息与事件管理（SIEM）遥测管道的部署与验证。为模拟真实世界的防御工程实践，我使用基于Docker Compose部署的容器化Wazuh Manager集群构建了一个隔离的虚拟实验室环境，持续采集、解析并针对通过Microsoft Sysmon从指定Windows 10企业版端点收集的主机级日志生成告警。 ## 1. 网络与基础设施架构 实验室基础设施采用多层分段布局，确保安全测试的同时，在虚拟机监控程序层之间维持持久的遥测数据流通道。 * **SIEM/管理层：** 通过Docker Compose在宿主操作系统上部署Wazuh Manager基础设施，监听指定端口。 * **端点/目标层：** 运行本地化Wazuh Agent并配合精细调整的Microsoft Sysmon日志配置的Windows 10企业版工作站。 * **网络分段桥接：** 所有系统均配置多宿主或直接映射到一个隔离的`VirtualBox Host-Only Ethernet Adapter #2`交换层，以实现本地DHCP作用域路由。  ## 2. 技术部署阶段 ### 阶段A：虚拟化路由基础设施 1. 通过`ncpa.cpl`强制初始化并启用仅主机适配器软件层，修正了宿主机的虚拟化驱动程序盲点。 2. 在`192.168.56.0/24`子网边界内初始化了一个本地化的DHCP守护进程服务器池，以在容器资产和端点目标之间保持一致的IP通信租约。 ### 阶段B：日志传输与代理集成 1. 修改`C:\Program Files (x86)\ossec-agent\ossec.conf`中的宿主代理路由配置组件，声明主日志引擎网关目的地：

192.168.56.1

1514 tcp ## 3. 威胁模拟与遥测分析 ### 测试用例1：执行与进程生成关联 为评估端点日志可见性，在目标系统资产（`DESKTOP-717D4OJ`）上使用标准shell执行字符串（`cmd.exe /c calc.exe`）启动了一个明确的多进程命令注入序列。 **取证分析：** Wazuh Manager完美解析了原始事件管道流。展开详细的文档详情，可暴露高价值的入侵指标（IoCs），突出显示了父进程元数据触发器以及自动化威胁情报查询所需的二进制执行哈希（`SHA256`）。 ### 测试用例2：后渗透持久化与权限提升审计 为评估检测管道应对高级战术的能力，运行了一项评估来记录涉及意外命令行二进制文件生成下游功能的快速、高严重性端点状态变更。 **仪表盘输出：** 遥测管道成功将这些活动在分析引擎界面中分组为关联的告警块。它记录了严重的战术升级里程碑，具体标记了规则ID `92032`（**可疑的Windows cmd shell执行**）和规则ID `92041`（**添加到注册表键的值具有类Base64模式**），严重性级别为10。 ## 4. 关键工程要点 * **企业日志采集：** 成功从零开始构建了完整的日志流传输基础设施，证明了在容器管理（Docker Compose）、虚拟化路由和集中式安全监控框架方面的能力。 * **遥测优化：** 验证了将Sysmon配置钩子分层到目标资产上，使安全运营能够捕获隐蔽的恶意异常（如混淆的注册表持久化机制），而普通操作系统事件日志对此完全缺乏监控。

标签：AMSI绕过, Docker Compose, NIDS, OISF, Sysmon, VirtualBox, Wazuh, Windows 10, 企业安全, 威胁检测, 安全工程, 安全日志, 安全测试, 家庭实验室, 容器化, 攻击性安全, 攻击模拟, 日志管理, 版权保护, 端点安全, 网络安全, 网络资产管理, 补丁管理, 请求拦截, 遥测分析, 隐私保护, 驱动签名利用