bharath-blazecode/identity-threat-detection-lab

# 身份威胁检测实验室 一个家庭实验室环境，用于模拟基于身份的网络攻击，并使用自定义配置的 Wazuh SIEM 堆栈和映射了 MITRE ATT&CK 的检测规则来检测它们。 ## 项目状态 🔨 进行中 — 8 个阶段中的第 1 阶段已完成 ## 本实验室的功能 针对 Windows 终端节点模拟四种真实的身份攻击模式，使用自定义的 Wazuh 检测规则检测它们，并通过生成结构化事件报告的 Python 管道，利用 VirusTotal 威胁情报丰富警报信息。 ## 架构 - **Wazuh SIEM Server** — Ubuntu Server 22.04 LTS (VM) - **受监控终端节点** — Windows 11 Enterprise (VM) - **日志收集** — Sysmon 15.x + SwiftOnSecurity 配置 - **检测** — 4 条自定义的映射 MITRE ATT&CK 的 XML 规则 - **情报丰富** — Python + VirusTotal API v3 - **网络** — 隔离的虚拟实验室环境 ## 工具与技术 | 工具 | 用途 | |------|---------| | Wazuh 4.9.2 | SIEM — 日志收集、警报、仪表板 | | Sysmon 15.x | Windows 遥测 — 进程、网络、注册表 | | MITRE ATT&CK | 用于映射检测规则的框架 | | Python 3 | 警报丰富与事件报告生成 | | VirusTotal API | 威胁情报丰富 | | VMware Workstation | Hypervisor — 实验室隔离 | ## MITRE ATT&CK 覆盖范围 | 技术 | ID | 检测规则 | 状态 | |-----------|-----|---------------|--------| | 暴力破解 | T1110 | 自定义 XML 规则 | 🔨 进行中 | | 哈希传递攻击 | T1550.002 | 自定义 XML 规则 | 🔨 进行中 | | Token 模拟 | T1134 | 自定义 XML 规则 | 🔨 进行中 | | 凭据转储 | T1003 | 自定义 XML 规则 | 🔨 进行中 | ## 项目阶段 - [x] 阶段 1：环境设置 - [ ] 阶段 2：日志收集与基线 - [ ] 阶段 3：攻击模拟 - [ ] 阶段 4：自定义检测规则 - [ ] 阶段 5：Python 警报丰富 - [ ] 阶段 6：文档与 GitHub - [ ] 阶段 7：演示视频与作品集完善 - [ ] 阶段 8：Entra ID 集成 ## 负责任的使用 所有攻击模拟均在隔离的实验室环境中的自有虚拟机上专门进行。未测试或针对任何外部系统。 ## 作者 Barry Sampath | QUT 信息技术学士（网络安全与人工智能） [LinkedIn](https://linkedin.com/in/barrysampath) | [GitHub](https://github.com/bharath-blazecode)

标签：AMSI绕过, Sysmon, Wazuh, 威胁情报, 威胁检测, 安全实验环境, 开发者工具, 身份认证攻击, 逆向工具