aadov/wazuh-lab

# Wazuh 实验 实操 SIEM 实验：基于 WSL2，通过 Docker Compose 部署 Wazuh 4.12.0， 包含 Windows 端点代理、自定义检测规则及主动响应。 ## 本实验演示的内容 - 通过 Docker Compose 单节点部署 Wazuh - Windows 代理注册及实时事件监控 - 通过终端分析原始告警流（alerts.json） - 自定义检测规则（规则 100001）：登录失败 → MITRE T1110 暴力破解，级别 10 - 主动响应：规则触发时自动防火墙拦截（180 秒超时） - SCA：CIS Microsoft Windows 10 企业版基线评估（30% 基准） - MITRE ATT&CK 映射：防御规避、初始访问、持久化、权限提升 ## 技术栈 Wazuh 4.12.0 · Docker Compose · WSL2 · Windows 10 端点 · XML 规则编写 ## 关键文件 | 文件 | 用途 | |---|---| | `rules/local_rules.xml` | 自定义检测规则 100001 | | `config/active-response.xml` | 防火墙拦截主动响应配置 |

标签：AMSI绕过, Anthropic, CIS基准, Cloudflare, Docker Compose, MITRE ATT&CK, PoC, T1110, Wazuh, Windows端点, WSL2, XML规则, 主动响应, 初始访问, 威胁检测, 安全信息与事件管理, 安全实验室, 安全配置评估, 实验环境, 搜索引擎爬取, 暴力破解, 版权保护, 特权提升, 私有化部署, 端点检测与响应, 脱壳工具, 自动化部署, 自定义检测规则, 警报分析, 防御规避, 防火墙丢弃