andresscyber/wazuh-sysmon-detection-lab

GitHub: andresscyber/wazuh-sysmon-detection-lab

基于 Wazuh SIEM 和 Sysmon 构建的 Windows 威胁狩猎实验室，通过攻击模拟验证安全检测规则并对齐 MITRE ATT&CK 框架。

Stars: 0 | Forks: 0

# Wazuh + Sysmon 检测实验室 ![Wazuh](https://img.shields.io/badge/Wazuh-SIEM-blue) ![Sysmon](https://img.shields.io/badge/Sysmon-Windows%20Telemetry-red) ![Windows](https://img.shields.io/badge/Platform-Windows%2010-green) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-orange) ## 项目概述本项目展示了一个使用 Wazuh SIEM 和 Sysmon 构建的 Windows 检测实验室，用于端点监控、日志分析和威胁狩猎。该实验室旨在模拟攻击者行为，并使用集中式日志记录和 Sysmon 遥测数据验证安全检测能力。该环境包括： - Windows 10 端点 - Sysmon 事件记录 - Wazuh agent 集成 - 运行在 Ubuntu 上的 Wazuh manager - 威胁狩猎仪表板 - 与 MITRE ATT&CK 对齐的检测规则 ## 目标 - 使用 Wazuh 配置集中式日志记录 - 集成 Sysmon 遥测 - 模拟攻击者技术 - 检测恶意活动 - 执行威胁狩猎调查 - 分析 Windows 事件日志 ## 使用的技术 - Wazuh SIEM - Sysmon - Windows 10 - Ubuntu Server - Filebeat - PowerShell - MITRE ATT&CK - VirtualBox / VMware ## 实验室架构 ![架构](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/d59892cfc1113220.png) ## 环境设置实验室环境包含： - 基于 Ubuntu 的 Wazuh 服务器 - Windows 10 端点 - 安装了 Sysmon 以获取高级遥测数据 - 配置了 Wazuh agent 进行集中式日志转发系统之间的连通性通过以下方式进行验证： - Agent 状态验证 - ICMP 连通性测试 - Wazuh 仪表板监控 ## 攻击模拟 ### 用户账户创建使用 PowerShell 创建了一个本地用户账户，以模拟持久化活动。命令： ``` net user hacker Password123! /add ``` ![用户创建](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/855c63bd0c113226.png) ### PowerShell 执行策略绕过使用执行策略绕过方式启动 PowerShell，以模拟攻击者活动中常见的可疑脚本执行行为。命令： ``` powershell -ExecutionPolicy Bypass ``` Wazuh 和 Sysmon 成功捕获了： - PowerShell 进程创建 - 父子进程关系 - 命令行执行活动 - 威胁狩猎遥测数据 ![展开的事件详情](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/68c5f9a350113232.png) ### 发现和侦察活动执行了多个侦察命令，以模拟系统被攻破后攻击者的发现行为。执行的命令： ``` whoami net user net localgroup administrators systeminfo tasklist ipconfig arp -a netstat -ano ``` Wazuh 基于 Sysmon 遥测数据和进程创建监控生成了与发现相关的警报。 ![发现活动](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/78dac4c087113237.png) ### 可疑可执行文件释放模拟创建了一个名为 payload.exe 的模拟恶意可执行文件。命令： ``` echo "malware test" > payload.exe Start-Process .\payload.exe ``` 尽管该可执行文件不是有效的二进制文件，Sysmon 仍成功捕获了： - 文件创建活动 - 进程执行尝试 - 命令行遥测 - 可疑可执行文件行为 ![可执行文件释放检测](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f9adf1019a113242.png) ## 检测结果 Wazuh 成功检测到了： - PowerShell 执行活动 - 发现和侦察行为 - 用户账户创建 - 可疑可执行文件释放 - Sysmon 进程创建事件威胁狩猎是通过以下方式执行的： - Wazuh 仪表板 - Sysmon 遥测 - 基于规则的检测 - MITRE ATT&CK 映射该项目展示了使用 Sysmon 和 Wazuh 集成的集中式日志收集、端点可见性以及 Windows 事件分析。警报通过 Wazuh 威胁狩猎仪表板进行了验证，并与 Sysmon 进程创建遥测数据进行了关联。 ## MITRE ATT&CK 映射 | 技术 ID | 技术 | |---|---| | T1059 | PowerShell | | T1087 | 账户发现 | | T1136 | 创建账户 | | T1570 | 横向工具转移 | | T1036 | 伪装 | ## 展示的核心技能 - SIEM 部署和配置 - 端点监控和遥测数据收集 - Sysmon 日志分析 - 威胁狩猎和事件调查 - Windows 安全事件分析 - MITRE ATT&CK 映射 - 检测工程 - PowerShell 活动监控 - 安全警报分类 - Linux 服务器管理 - Wazuh agent 管理 - 安全仪表板分析 ## 经验教训该项目提升了对以下方面的理解： - SIEM 部署和管理 - Sysmon 遥测分析 - Windows 事件记录 - 威胁狩猎工作流 - 端点可见性 - 检测工程 - MITRE ATT&CK 映射 - 安全事件分析该实验室还提供了以下方面的故障排除实践经验： - Filebeat 配置 - Wazuh agent 通信 - Sysmon 事件转发 - 仪表板索引和事件可见性 ## 截图 ### Wazuh 仪表板 ![仪表板](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/504f3a823e113248.png) ### 威胁狩猎事件 ![威胁狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a5bc68c736113253.png) ### 检测事件 ![检测事件](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/8b33125d9d113259.png)

标签：AI合规, Conpot, Sysmon, Wazuh, Windows安全, 安全实验环境