bappy-cybersec142225/Wazuh-SOC-Detection-Lab

# Wazuh-SOC-Detection-Lab ### 使用 Wazuh、Sysmon 和 Atomic Red Team 进行威胁监控、检测工程和攻击模拟 本项目旨在作为一个专业的网络安全作品集展示： * SIEM 部署 * 威胁检测工程 * 安全监控 * MITRE ATT&CK 映射 * 对手模拟 * 事件调查 * 威胁狩猎 # 阶段 1：项目规划 ## 项目目标 构建一个完整的 SOC 实验室，能够实现： ✅ 收集 Windows 安全事件 ✅ 监控 Sysmon 遥测数据 ✅ 模拟攻击 ✅ 检测对手行为 ✅ 生成告警 ✅ 将活动映射到 MITRE ATT&CK ## 最终架构 ``` Windows 11 Endpoint │ ├── Sysmon ├── Atomic Red Team └── Wazuh Agent │ ▼ Ubuntu Server │ ├── Wazuh Manager ├── Wazuh Indexer ├── Wazuh Dashboard └── Filebeat │ ▼ Detection & Monitoring │ ▼ MITRE ATT&CK Mapping ``` # 阶段 2：创建 GitHub 仓库 创建仓库 ``` wazuh-soc-detection-lab ``` 仓库描述 ``` Threat Monitoring, Detection Engineering, and Attack Simulation with Wazuh, Sysmon, and Atomic Red Team. ``` 主题 ``` wazuh soc siem sysmon atomic-red-team mitre-attck detection-engineering threat-hunting cybersecurity security-monitoring ubuntu windows11 ``` # 阶段 3：项目结构 创建文件夹 ``` wazuh-soc-detection-lab/ │ ├── README.md │ ├── docs/ │ ├── architecture/ │ ├── installation/ │ ├── detection-rules/ │ ├── dashboards/ │ └── screenshots/ │ ├── configs/ │ ├── sysmon/ │ ├── wazuh/ │ └── windows-agent/ │ ├── atomic-tests/ │ ├── detections/ │ ├── reports/ │ ├── images/ │ └── LICENSE ``` # 阶段 4：实验室设置文档 创建： ``` docs/installation/ ``` 添加： ## 01-Ubuntu-Installation.md 内容： * VirtualBox 设置 * Ubuntu 安装 * 网络配置 ## 02-Wazuh-Installation.md 内容： * Wazuh Manager * Indexer * Dashboard 安装命令 ## 03-Windows-Agent.md 内容： * Windows 11 设置 * Agent 安装 * 注册 ## 04-Sysmon-Installation.md 内容： * Sysmon 安装 * SwiftOnSecurity 配置 ## 05-AtomicRedTeam.md 内容： * 安装 * 测试执行 # 阶段 5：创建架构文档 创建： ``` docs/architecture/lab-architecture.md ``` 包含 ## 网络拓扑图 ``` Windows 11 VM │ ▼ Wazuh Agent │ ▼ Wazuh Manager │ ▼ Indexer │ ▼ Dashboard ``` # 阶段 6：创建检测工程部分 文件夹 ``` detections/ ``` 创建： ## powershell-detection.md 技术 ``` T1059.001 ``` 描述 ``` PowerShell execution detection using Sysmon Event ID 1. ``` ## credential-access.md 技术 ``` T1003 ``` 描述 ``` Credential Dumping Detection ``` ## discovery.md 技术 ``` T1082 ``` 描述 ``` System Information Discovery ``` # 阶段 7：Atomic Red Team 测试 文件夹 ``` atomic-tests/ ``` 创建 ## T1059-PowerShell.md ``` Invoke-AtomicTest T1059.001 ``` 预期告警 ``` PowerShell Execution ``` ## T1003-CredentialDumping.md ``` Invoke-AtomicTest T1003 ``` 预期告警 ``` Credential Access Activity ``` ## T1082-SystemDiscovery.md ``` Invoke-AtomicTest T1082 ``` 预期告警 ``` System Information Discovery ``` # 阶段 8：截图收集 创建 ``` docs/screenshots/ ``` 为以下内容截取屏幕截图： ### 基础设施 ``` 01-VirtualBox-Lab.png 02-Ubuntu-Server.png 03-Windows11.png ``` ### Wazuh ``` 04-Wazuh-Dashboard.png 05-Agent-Connected.png 06-Security-Events.png ``` ### Sysmon ``` 07-Sysmon-Service.png 08-Sysmon-Logs.png ``` ### Atomic Red Team ``` 09-Atomic-Test-T1059.png 10-Atomic-Test-T1003.png 11-Atomic-Test-T1082.png ``` ### 检测 ``` 12-PowerShell-Detection.png 13-Credential-Dump-Detection.png 14-Discovery-Detection.png 15-MITRE-Mapping.png ``` # 阶段 9：创建检测报告 文件夹 ``` reports/ ``` 创建 ## Attack-Simulation-Report.md 结构 ``` Objective Tools Used Attack Simulation Observed Events Detection Analysis MITRE Mapping Recommendations ``` # 阶段 10：专业 README 部分 README 结构 ``` 1. Project Overview 2. Objectives 3. Architecture 4. Technologies Used 5. Lab Environment 6. Installation Guide 7. Sysmon Configuration 8. Atomic Red Team 9. Detection Engineering 10. MITRE ATT&CK Mapping 11. Screenshots 12. Lessons Learned 13. Future Improvements 14. References 15. Author ``` # 阶段 11：GitHub 作品集增强 添加： ### 徽章 ```     ``` # 阶段 12：未来增强功能 路线图 ``` ☐ Sigma Rules Integration ☐ Suricata IDS Integration ☐ Splunk Integration ☐ YARA Malware Detection ☐ Velociraptor DFIR ☐ Active Directory Monitoring ☐ SOAR Automation ☐ Threat Intelligence Feeds ``` # 最终交付成果 完成本项目后，您的 GitHub 仓库将展示： * SIEM 工程 * SOC 运营 * 威胁检测 * 威胁狩猎 * MITRE ATT&CK * Windows 日志分析 * Sysmon 遥测 * Atomic Red Team 测试 * 事件调查 * Wazuh 管理 TDeveloped and Maintained by Bappy Sharma CISA | FMVA | CBCA 网络安全爱好者 | IT 审计师 | 银行业专业人士

标签：AMSI绕过, IP 地址批量处理, Sysmon, TGT, Wazuh, 威胁检测, 安全运营中心, 攻防演练, 网络安全, 网络映射, 隐私保护