BharathB-1905/wazuh-detection-rules
GitHub: BharathB-1905/wazuh-detection-rules
一套包含 65 条自定义 Wazuh 检测规则并映射至 MITRE ATT&CK 技术的 Windows 终端威胁检测规则集,旨在帮助企业 SOC 快速部署覆盖多攻击向量的安全监控能力。
Stars: 0 | Forks: 0
# Wazuh 自定义检测规则集 — Windows 11 终端
## 概述
本仓库包含一个为生产环境 SOC 开发的自定义 Wazuh 检测规则集(规则 ID `200100–200714`)。这些规则是针对运行 Sysmon + Wazuh agent 的 Windows 11 终端 (`HYDRA`) 的真实遥测数据进行编写、测试和调优的,并已集成到包含 TheHive 5、Velociraptor 和 Suricata IDS 的 3 节点 Wazuh 集群中。
每条规则均具备以下特点:
- **映射 MITRE ATT&CK®** 并带有明确的技术 ID
- **严重性分级**(级别 7–12)用于告警优先级排序
- **正则表达式优化** 使用 PCRE2 模式,以确保准确性和低误报率
- **特定字段** — 针对 Sysmon Event Data、Windows Security Events 和 FIM 告警
## 仓库结构
```
wazuh-detection-rules/
│
├── README.md
├── rules/
│ ├── powershell_rules.xml # Rules 200100–200109
│ ├── network_rules.xml # Rules 200200–200209
│ ├── network_traffic.xml # Rules 200400–200402
│ ├── task_service_rules.xml # Rules 200300–200309
│ ├── fim_firewall_rules.xml # Rules 200600–200619
│ └── rdp_usb_print_rules.xml # Rules 200700–200714
├── docs/
│ ├── MITRE_mapping.md
│ └── deployment_guide.md
└── LICENSE
```
## 规则覆盖范围摘要
| 文件 | 规则 IDs | 数量 | 检测类别 |
|------|----------|-------|--------------------|
| `powershell_rules.xml` | 200100–200109 | 10 | PowerShell 滥用与规避 |
| `network_rules.xml` | 200200–200209 | 10 | 网络异常与 C2 |
| `network_traffic.xml` | 200400–200402 | 3 | 特定协议流量 |
| `task_service_rules.xml` | 200300–200309 | 9 | 通过任务与服务实现持久化 |
| `fim_firewall_rules.xml` | 200600–200619 | 20 | 文件完整性与防火墙篡改 |
| `rdp_usb_print_rules.xml` | 200700–200714 | 13 | RDP、USB、PrintNightmare |
| **总计** | **200100–200714** | **65** | **多向量 Windows 检测** |
## MITRE ATT&CK® 覆盖范围
### PowerShell 检测 (`powershell_rules.xml`)
| 规则 ID | 级别 | 技术 | 描述 |
|---------|-------|-----------|-------------|
| 200100 | 7 | T1059.001 | 用户启动的 PowerShell 进程 |
| 200101 | 9 | T1059.001, T1027 | 可疑标志 (`-enc`, `-bypass`, `-hidden`) |
| 200102 | 9 | T1105, T1059.001 | 下载利用 (Download cradle) (`DownloadString`, `WebClient`) |
| 200103 | 9 | T1059.001, T1620 | 内存中执行 (`Invoke-Expression`, `Reflection.Assembly`) |
| 200104 | 7 | T1082, T1059.001 | 侦察命令 (`whoami`, `net user`, `systeminfo`) |
| 200105 | 9 | T1566.001, T1059.001 | 可疑的父进程 (Word, Excel, mshta, cmd) |
| 200106 | 12 | T1003, T1059.001 | **凭证窃取** (Mimikatz, lsass, sekurlsa) |
| 200107 | 9 | T1053.005, T1059.001 | 通过计划任务或服务创建实现持久化 |
| 200108 | 12 | T1562.001, T1070.001 | **防御规避** (Clear-EventLog, DisableRealtimeMonitoring) |
| 200109 | 12 | T1003.001, T1489 | **内存转储 / 激进进程终止** (MiniDumpWriteDump) |
### 网络检测 (`network_rules.xml`)
| 规则 ID | 级别 | 技术 | 描述 |
|---------|-------|-----------|-------------|
| 200200 | 10 | T1105 | LOLBin 网络连接 (certutil, bitsadmin, curl, wget) |
| 200201 | 12 | T1059, T1071 | **脚本引擎发起的网络连接** |
| 200202 | 12 | T1566, T1071 | **Office 应用程序 C2 回调** (Word, Excel, PowerPoint) |
| 200203 | 10 | T1218 | 系统代理二进制文件 (rundll32, regsvr32, msbuild) 网络调用 |
| 200204 | 12 | T1095 | **已知的 reverse shell / C2 端口** (4444, 1337, 31337, 8888) |
| 200205 | 9 | T1496 | 挖矿程序连接池端口 (3333, 14444, 7777) |
| 200206 | 8 | T1021 | 异常进程发起的横向移动端口连接 (3389, 5985, 5986, 445) |
| 200207 | 7 | T1048 | 明文协议 (FTP/Telnet/TFTP) 连接 |
| 200208 | 10 | T1090 | TOR / 匿名网络端口 (9001, 9050, 1080) |
| 200209 | 9 | T1049 | 侦察工具网络连接 (whoami, net, ipconfig) |
### 网络流量 (`network_traffic.xml`)
| 规则 ID | 级别 | 技术 | 描述 |
|---------|-------|-----------|-------------|
| 200400 | 8 | T1021.004 | SSH 连接尝试 |
| 200401 | 8 | T1071 | FTP 连接尝试 |
| 200402 | 8 | T1071 | SMTP 连接尝试 |
### 计划任务与服务 (`task_service_rules.xml`)
| 规则 ID | 级别 | 技术 | 描述 |
|---------|-------|-----------|-------------|
| 200300 | 9 | T1053.005 | 创建计划任务 (Event 4698) |
| 200301 | 9 | T1053.005 | 修改计划任务 (Event 4702) |
| 200302 | 7 | T1053.005 | 删除计划任务 (Event 4699) |
| 200303 | 7 | T1053.005 | 启用计划任务 (Event 4700) |
| 200304 | 12 | T1053.005, T1036 | **可疑的任务名称** (伪装为 svchost, lsass, csrss) |
| 200305 | 9 | T1543.003 | 安装新的 Windows 服务 (Event 7045) |
| 200306 | 12 | T1543.003, T1036 | **来自可疑路径的服务** (Temp, AppData, Public) |
| 200307 | 12 | T1543.003, T1215 | **作为服务安装的内核/文件系统驱动** |
| 200308 | 9 | T1543.003 | 服务启动项更改为自动启动 |
| 200309 | 12 | T1053.005, T1078.003 | **由 SYSTEM/服务账户创建的任务** |
### FIM 与防火墙 (`fim_firewall_rules.xml`)
| 规则 ID | 级别 | 技术 | 描述 |
|---------|-------|-----------|-------------|
| 200600 | 12 | T1565.001, T1071 | **hosts 文件被修改** |
| 200601 | 12 | T1565.001, T1071 | **hosts 文件被重建/替换** |
| 200602 | 9 | T1562.004 | 添加防火墙入站规则 (Event 4946) |
| 200603 | 9 | T1562.004 | 删除防火墙规则 (Event 4947) |
| 200604 | 12 | T1562.004 | **防火墙配置文件设置已更改** (Event 4950) |
| 200605 | 7 | T1565.001 | FIM: 监控的文件被修改 |
| 200606 | 7 | T1105 | FIM: 监控路径下添加了新文件 |
| 200607 | 12 | T1105, T1036 | **释放到 System32 的新可执行文件** |
| 200608 | 12 | T1105, T1036 | **释放到 SysWOW64 的新可执行文件** |
| 200609 | 12 | T1547.001 | **投入启动文件夹的文件** (持久化) |
| 200610 | 9 | T1059 | 在 Temp/AppData 中创建的脚本 |
| 200611 | 9 | T1574.001 | 放入非标准用户路径的 DLL (DLL 劫持) |
| 200612 | 9 | T1565.001 | 添加到受监控的 PRIVATE DOCS 文件夹的文件 |
| 200613 | 7 | T1565.001 | 受监控的 PRIVATE DOCS 文件夹中的文件被修改 |
| 200614 | 9 | T1105 | 可执行文件被下载到 Downloads 文件夹 |
| 200615 | 9 | T1003.002 | **Windows 注册表配置单元文件被修改** (SAM, SYSTEM, SECURITY) |
| 200616 | 9 | T1546.013 | PowerShell 配置脚本被修改 (持久化) |
| 200617 | 12 | T1562.001 | **Wazuh agent 配置文件被修改** (防篡改) |
| 200618 | 9 | T1070.004 | FIM: 监控的文件被删除 |
| 200619 | 12 | T1486 | **大规模文件修改 — 勒索软件指标** (20个文件/60秒) |
### RDP、USB 与 PrintNightmare (`rdp_usb_print_rules.xml`)
| 规则 ID | 级别 | 技术 | 描述 |
|---------|-------|-----------|-------------|
| 200700 | 9 | T1021.001 | RDP 登录成功 (LogonType 10) |
| 200701 | 9 | T1021.001, T1110 | RDP 登录失败尝试 |
| 200703 | 9 | T1021.001 | 非工作时间 (晚上 9 点至早上 6 点) 的 RDP 登录 |
| 200704 | 9 | T1021.001 | 来自内部 IP 的 RDP 横向移动 |
| 200706 | 9 | T1021.001, T1078.003 | 使用内置 Administrator 账户进行 RDP 登录 |
| 200707 | 9 | T1091, T1052.001 | USB 设备已连接 (Event 2003) |
| 200708 | 7 | T1052.001 | USB 设备已断开 (Event 2100) |
| 200709 | 9 | T1200 | 新 USB 设备首次安装 (Event 20001) |
| 200710 | 12 | T1091, T1204.002 | **从可移动驱动器启动的可执行文件** |
| 200711 | 12 | T1091, T1059 | **从可移动驱动器执行的脚本** |
| 200712 | 12 | T1068, T1547 | **PrintNightmare — spoolsv.exe 产生子进程** |
| 200713 | 12 | T1068 | **PrintNightmare — 从 spool drivers 路径加载的 DLL** |
| 200714 | 12 | T1068, T1059 | **PrintNightmare RCE — spoolsv.exe 产生了 shell** |
## 环境
| 组件 | 详情 |
|-----------|---------|
| Wazuh 版本 | v4.14.5 |
| 集群节点 | 3 节点 (Manager · Indexer · Dashboard) |
| 终端 | Windows 11 (HYDRA) — Sysmon + Wazuh Agent |
| 使用的 Sysmon 事件 | Event 1 (Process Create), Event 3 (Network Connect) |
| 使用的 Windows 事件 | 4624, 4625, 4698, 4699, 4700, 4702, 4946, 4947, 4950, 7040, 7045 |
| 使用的 FIM 事件 | SID 550 (modified), 553 (deleted), 554 (added) |
| 支持栈 | TheHive 5 · Velociraptor · Suricata IDS · OpenCanary |
## 部署指南
### 1. 将规则复制到 Wazuh manager
```
scp rules/*.xml user@:/var/ossec/etc/rules/
```
### 2. 设置正确的所有权
_BLOCK_2/>
### 3. 验证配置
```
/var/ossec/bin/wazuh-logtest
# 或查看完整 config:
/var/ossec/bin/ossec-logtest -t
```
### 4. 重启 Wazuh manager
```
systemctl restart wazuh-manager
```
### 5. 验证规则是否已加载
```
grep -r "200100\|200200\|200300\|200600\|200700" /var/ossec/logs/ossec.log
```
## 告警严重性指南
| 级别 | 严重性 | 操作 |
|-------|----------|--------|
| 7 | 低 | 记录并监控 |
| 8–9 | 中 | 24 小时内调查 |
| 10–11 | 高 | 当天内调查 |
| 12 | 严重 | 立即响应 |
级别 12 的规则涵盖:凭证窃取、PrintNightmare RCE、勒索软件批量修改、内核驱动安装、防御规避以及 Wazuh agent 篡改。
## 作者
**Bharath B**
**认证:** CHFI · CompTIA Security+ · CCA-CNS (IIT Madras) · CSA1/CSA2 (Mile2)
## 许可证
该项目基于 MIT 许可证授权。详情请参阅 [许可证](LICENSE)。
## 主题
`wazuh` `siem` `detection-engineering` `mitre-attack` `blue-team` `dfir` `windows-security` `sysmon` `threat-detection` `cybersecurity` `incident-response` `soc`
标签:IP 地址批量处理, PE 加载器, Sysmon, Wazuh, x64dbg, 安全运营, 扫描框架, 检测规则, 网络资产发现