Alt21one/SIEM-Wazuh

# Wazuh Windows 网络检测实验室 这是一个家庭实验室项目，旨在使用 Wazuh、Syscollector 和 Sysmon 检测 Windows 终端节点上的可疑网络活动。 ## 概述 本项目展示了用于 Windows 终端节点监控的自定义 Wazuh 检测工程。该实验室能够检测主机何时打开了新的监听端口，以及主机何时连接到通常与命令和控制（C2）活动相关的可疑端口。 ## 使用工具 - Wazuh Manager、Indexer 和 Dashboard - Windows 10 终端节点 - Wazuh Agent - Sysmon - 用于端口测试的 Python HTTP 服务器 - VirtualBox / VMware ## 检测规则 | 规则 ID | 描述 | MITRE ATT&CK | |---|---|---| | 100201 | 主机打开了一个新的监听端口 | Discovery / Network Activity | | 100202 | 打开了可疑的监听端口 | T1071 | | 100203 | 到可疑端口的外连连接 | T1071 | ## 结果 所有规则均在 Wazuh Dashboard 中成功通过测试。Syscollector 检测到了新打开的监听端口，而 Sysmon 则为外发网络连接提供了进程级别的遥测数据。 ## ## ##

标签：EDR, IP 地址批量处理, Wazuh, 安全, 端点检测与响应, 脆弱性评估, 脱壳工具, 超时处理, 逆向工具