Shabahat1/wazuh-mimikatz-detection-lab

本项目记录了一项完全在隔离的 VirtualBox 实验室网络中构建的实操检测工程练习。一个 Wazuh 4.7.5 SIEM 技术栈（包含 indexer、manager 和 dashboard）被部署在 Ubuntu 上，同时一台 Windows 11 端点作为受监控的 agent 被接入。通过引入 Sysmon 日志收集扩展了默认的 agent 遥测数据以填补可见性盲区，随后通过使用 Mimikatz（privilege::debug → token::elevate）模拟真实的凭证窃取攻击进行了验证。由此引发的攻击被自定义的 Wazuh 关联规则（Level 15，Rule ID 100200，MITRE ATT&CK T1003.001 — OS Credential Dumping）正确检测并告警，同时配套的低严重性告警进一步印证了该攻击链。本仓库包含了完整的 PDF 报告，涵盖了环境搭建、攻击模拟、检测验证，以及从检测工程角度总结的经验教训。

标签：Sysmon, Wazuh, 安全运营, 扫描框架