abhinavkishor9/wazuh-lab-03-detection-engineering-powershell-detection
GitHub: abhinavkishor9/wazuh-lab-03-detection-engineering-powershell-detection
一个基于 Wazuh 平台的检测工程实验,演示如何为 Windows 端点的 PowerShell 执行活动创建、验证自定义检测规则并映射 MITRE ATT&CK。
Stars: 0 | Forks: 0
# wazuh-lab-03-detection-engineering-powershell-检测
## 目标
本实验的目标是创建并验证一条自定义的 Wazuh 检测规则,该规则能够识别来自受监控 Windows 端点的 PowerShell 执行活动。
本实验介绍了核心的检测工程工作流程:
1. 生成活动
2. 收集遥测数据
3. 分析事件
4. 创建检测逻辑
5. 验证检测
6. 调查告警
## 环境
| 组件 | 详情 |
|------------|------------|
| SIEM 平台 | Wazuh 4.14.5 |
| Manager OS | Rocky Linux |
| 端点 OS | Windows 11 |
| Agent 名称 | DESKTOP-9MMM37V |
| 检测类型 | 自定义规则 |
| 规则 ID | 100500 |
## 检测规则
以下自定义规则被添加到:
```
/var/ossec/etc/rules/local_rules.xml
```
```
powershell.exe
PowerShell Execution Detected
T1059.001
```
## 验证过程
### 步骤 1
创建自定义检测规则。
### 步骤 2
使用以下命令验证规则:
```
sudo /var/ossec/bin/wazuh-logtest
```
### 步骤 3
输入:
```
powershell.exe
```
### 步骤 4
验证规则 ID 100500 是否被触发。
### 步骤 5
重启 Wazuh Manager。
```
sudo systemctl restart wazuh-manager
```
### 步骤 6
在 Windows 端点上生成 PowerShell 活动。
```
Get-Process
Get-Service
Get-Date
```
### 步骤 7
在 Wazuh 中调查生成的事件。
## MITRE ATT&CK 映射
| 技术 ID | 技术 |
|--------------|-----------|
| T1059.001 | PowerShell |
## 展示的技能
- 检测工程
- 自定义规则开发
- Wazuh 规则验证
- 告警调优
- MITRE ATT&CK 映射
- 威胁检测测试
## 结果
使用 Wazuh Logtest 成功开发并验证了一条自定义检测规则。本实验展示了在 SIEM 环境中检测创建、测试和调查的完整生命周期。
标签:AMSI绕过, OpenCanary, Wazuh, 威胁检测, 安全运营, 扫描框架