andresscyber/wazuh-detection-engineering-lab

# Wazuh Detection Engineering 实验室 ## 概述 本项目演示了如何使用 Wazuh、Sysmon 和 Windows 事件遥测技术构建 Detection Engineering 实验室。 该实验室收集 Windows 终端日志，将其转发到集中式的 Wazuh 管理器，并使用自定义检测规则来识别潜在的可疑活动。 我们开发了自定义检测方法，并将其映射到 MITRE ATT&CK 技术，以模拟真实的安全运营中心 (SOC) 工作流程。 ## 目标 - 部署 Wazuh SIEM 环境 - 安装和配置 Sysmon 遥测 - 收集 Windows 安全和 Sysmon 日志 - 创建自定义 Wazuh 检测规则 - 生成模拟攻击活动 - 将检测映射到 MITRE ATT&CK - 执行威胁狩猎和告警验证 ## 使用的技术 - Wazuh - Sysmon - Windows 10 - Ubuntu Server - PowerShell - Windows 事件日志 - MITRE ATT&CK 框架 ## 架构  ### 数据流 Windows 终端 → Sysmon → Wazuh Agent → Wazuh 管理器 → 自定义检测规则 → Wazuh 仪表板 # 环境验证 验证了 Windows 终端和 Wazuh 管理器之间的通信。  # Sysmon 遥测收集 验证了 Sysmon 进程创建遥测，并确认事件已成功接入 Wazuh。 ### Sysmon Event ID 1  ### Wazuh 中可见的事件  # 自定义检测规则开发 创建了自定义 Wazuh 检测规则以识别可疑活动。 ### PowerShell 执行检测 规则 ID：100100 MITRE ATT&CK：T1059.001 – PowerShell 检测通过 PowerShell 执行 SecEdit。 # 检测 1：PowerShell 执行 模拟了 PowerShell 执行活动，并验证了自定义告警生成。  # 检测 2：用户账户创建 创建了一个新的本地用户账户，并生成了自定义 Wazuh 告警。 规则 ID：100101 MITRE ATT&CK：T1136 – Create Account  # 检测 3：权限提升 将一个用户账户添加到本地 Administrators 组，并生成了自定义告警。 规则 ID：100102 MITRE ATT&CK：T1484 – Domain Policy Modification  # 计划任务活动 创建了一个计划任务以模拟与持久化相关的活动。  # 网络遥测分析 审查了由 PowerShell 活动生成的 Sysmon Event ID 3 网络连接遥测。  # MITRE ATT&CK 映射 ### PowerShell 执行  ### 用户账户创建  ### 权限提升  # 仪表板验证 在 Wazuh 仪表板中验证了所有自定义检测。 ### 自定义检测结果  ### 仪表板概览  # 自定义规则 位置： ``` rules/custom_rules.xml ``` 已实现的自定义规则： | 规则 ID | 描述 | MITRE | |----------|-------------|--------| | 100100 | PowerShell Executed SecEdit | T1059.001 | | 100101 | User Account Created | T1136 | | 100102 | User Added To Administrators Group | T1484 | # 展示的技能 - Detection Engineering - 威胁狩猎 - SIEM 管理 - Wazuh - Sysmon - Windows 事件分析 - 安全监控 - MITRE ATT&CK 映射 - 自定义规则开发 - PowerShell 分析 # 简历亮点 - 构建了一个基于 Wazuh 的 Detection Engineering 实验室，整合了来自 Windows 终端的 Sysmon 遥测，以实现集中式的安全监控。 - 开发了自定义 Wazuh 检测规则，用于识别 PowerShell 执行、账户创建和管理员组成员身份变更，并将其映射到 MITRE ATT&CK 技术。 - 利用 Windows 安全事件、Sysmon 日志和自定义 SIEM 检测执行威胁狩猎和告警分析，以调查模拟的攻击活动。

标签：AI合规, OpenCanary, Sysmon, Wazuh, 安全运营, 扫描框架