ZombieLee117/Threat_Hunting_With_Wazuh

# 威胁狩猎培训平台 ### Wazuh SIEM · KQL 查询练习 · MITRE ATT&CK 一个基于现实攻击场景构建的互动式、自学节奏的威胁狩猎培训平台。学生可以在模拟的 SIEM 界面中编写实际的 Wazuh KQL 查询，学习真实的 UI 导航步骤，并将每种技术映射到 MITRE ATT&CK，所有这些都可以在浏览器中完成，无需设置。 ## 涵盖内容 | 场景 | 攻击类型 | MITRE 技术 | |---|---|---| | 1 | SSH 暴力破解检测 | T1110.001 | | 2 | 命名管道提权 | T1134.001 | | 3 | 恶意宏和下载器 | T1059.005, T1204.002 | | 4 | Apache 根套件检测 | T1014, T1543.002 | | 5 | 数据暂存和泄露 | T1560.001, T1041 | ## 功能 - **模拟 Wazuh Discover 界面** — 编写真实的 KQL 查询并查看真实的日志结果 - **精确语法验证** — 查询引擎强制执行真实的 Wazuh KQL 语法并返回有用的错误消息 - **Wazuh UI 导航教程** — 查找每个实况 Wazuh 部署中每个证据的逐步说明 - **MITRE ATT&CK 集成** — 每个场景都包括技术映射和描述，以及专门的 ATT&CK 问题 - **分割布局** — 查询终端和问题面板在每个问题步骤上同时可见 - **完整侧边栏导航** — 任何时间跳转场景，跟踪每个场景的进度 - **KQL + MITRE 参考页面** — 完整的字段参考和技术 ID 表格可通过侧边栏访问 - **20+ 个 KQL 查询** — 涵盖 SSH、Sysmon、FIM 和 Linux 审计日志字段，共 5 个场景 - **15 个问题** — KQL 字段识别和 MITRE ATT&CK 技术映射的混合 - **得分跟踪** — 实时得分徽章和进度条 ## 日志数据 模拟日志数据库中的所有 IoC 值（IP 地址、用户名、文件名、时间戳、哈希值）都是虚构的，并不匹配任何真实环境。攻击模式、Wazuh 规则 ID、Sysmon 事件 ID 和 KQL 字段名称与真实 Wazuh 部署准确匹配。

标签：后端开发, 请求拦截, 逆向工具