Jlangley3360/Enterprise-Threat-Detection-Architectural-Engineering

# 企业威胁检测与 SIEM 遥测作品集 **作者：** Joshua Langley **目标：** 实际设计、配置并验证自动化防御告警管道、集中式系统日志分析以及本地化身份验证跟踪。 ## 实验 1：权限提升与内部威胁检测（身份验证审计） ### 执行摘要 本项目旨在通过验证 Wazuh SIEM/XDR 平台拦截、解析未授权凭证探测和本地化权限提升尝试并发出告警的能力，来针对内部系统遥测进行测试。通过实时监控核心身份验证日志，当活动用户试图破坏管理安全边界时，该部署能够提供可见性。 ### 工具与环境 - **SIEM 引擎：** Wazuh XDR 架构（单节点栈） - **目标主机节点：** Ubuntu Linux 虚拟机（Agent 000） - **日志来源：** Linux 核心身份验证基础设施（`journald` / 系统日志） - **SIEM 规则关联：** 规则 5301（su：身份验证失败） ### 技术概念验证（账户探测） 通过在本地终端会话中对管理 `root` 配置文件执行一系列快速的、未经身份验证的密码尝试，在本地模拟了内部威胁场景。此行为模拟了试图获取提升的内核访问权限的手动暴力破解或凭证猜测攻击循环。 #### 遥测证据：告警时间线  执行失败的切换后，Wazuh 分析引擎成功触发了提升的告警级别 5 安全标记，并在分析仪表板时间线上直接记录了 5 次独立的威胁命中。 #### 取证日志分析  **提取的关键取证数据（MITRE ATT&CK 技术 T1078 - 有效账户）：** - **日志字符串输出：** `FAILED SU (to root) vboxuser on pts/0` - **目标账户：** `root` - **源会话配置文件：** `vboxuser` - **日志位置：** `journald` #### 规则分类映射  详细的元数据视图验证了摄取引擎已成功根据**规则 ID 5301** 对原始文本字符串进行了分类。这直接映射到行业合规框架，满足了访问控制监控的审计基准。 ### 防御对齐与总结 本实验展示了利用集中式 SIEM 来维持对本地系统结构性可见性的实际能力。在生产环境的 安全运营中心 (SOC) 中，当内部威胁或受感染资产试图横向移动、滥用本地配置文件或在企业端点上提升权限时，此管道可确保在瞬间进行可操作的即时路由。

标签：AMSI绕过, PB级数据处理, Wazuh, 威胁检测, 子域枚举, 安全运维, 身份验证审计