dimaskaje/Build-Custom-SIEM-Rules-with-Wazuh

## 概述 本项目演示了五条自定义 Wazuh 检测规则的开发与验证，这些规则旨在识别实验室环境中的常见安全威胁。这些规则针对模拟攻击场景进行了测试，并成功在 Wazuh Threat Hunting 中生成了警报。 ## 实验室架构 ``` +--------------------+ | Windows Endpoint | | | +---------+----------+ | | v +--------------------+ | Wazuh Server | | on Ubuntu | +---------+----------+ ^ | | +---------+----------+ | Ubuntu Endpoint | | | +---------+----------+ ^ | | +---------+----------+ | Apache Web Server | | | +--------------------+ ``` ## 日志源 在检测规则开发过程中，Wazuh 对以下日志源进行了监控和分析。 | 日志源 | 描述 | 相关规则 | |------------|-------------|---------------| | Windows 终端 | Windows 安全事件，包括用户账户管理和管理员组修改 | 100002 | | Ubuntu 服务器 | Linux 身份验证日志和 sudo 活动 | 100001, 100003 | | Apache Web 服务器 | Web 访问日志，用于检测 Web 攻击（如 SQL Injection 和 Directory Traversal） | 100004, 100005 | ## 检测规则 | 规则 ID | 检测名称 | 严重程度 | |----------|---------------|----------| | 100001 | SSH Brute Force | High | | 100002 | 用户被添加到管理员组 | High | | 100003 | 过度使用 Sudo | Medium | | 100004 | SQL Injection 尝试 | High | | 100005 | Directory Traversal 尝试 | High | ## MITRE ATT&CK 映射 | 规则 ID | 检测项 | ATT&CK 技术 | 描述 | |----------|-----------|-----------------|-------------| | 100001 | SSH Brute Force | T1110.001 | 密码猜测 | | 100002 | 用户被添加到管理员组 | T1098 | 账户操纵 | | 100003 | 过度使用 Sudo | T1548.003 | Sudo 和 Sudo 缓存 | | 100004 | SQL Injection 尝试 | T1190 | 利用面向公众的应用 | | 100005 | Directory Traversal 尝试 | T1083 | 文件和目录发现 | ## 仓库结构 ``` . ├── README.md ├── rules/ │ └── local_rules.xml ├── simulations/ │ ├── ssh-bruteforce.md │ ├── admin-group-addition.md │ ├── sudo-abuse.md │ ├── sql-injection.md │ └── directory-traversal.md └── screenshots/ ``` ## 作者 使用 Wazuh SIEM 开发的安全监控项目，用于自定义威胁检测和警报。

标签：CISA项目, Wazuh, 子域枚举, 安全运营, 扫描框架, 检测规则, 网络资产发现