abhinavkishor9/Wazuh-Lab-05-Privilege-Escalation-Detection

# Wazuh-Lab-05-Privilege-Escalation-Detection ## 概述 本实验演示了 Wazuh 如何检测和监控 Linux endpoint 上的权限提升活动。 目标是生成与 sudo 相关的事件，验证它们在 Linux 身份验证日志中的存在情况，并观察 Wazuh 如何在 Threat Hunting 中处理和显示这些事件。 ## 实验目标 - 使用 sudo 生成权限提升活动 - 监控 Linux 上的身份验证日志 - 验证 Wazuh 日志收集情况 - 在 Threat Hunting 中调查安全事件 - 将 Linux 日志与 Wazuh 告警进行关联 ## 实验环境 | 组件 | 详情 | |------------|----------| | Wazuh Manager | Rocky Linux | | Endpoint | Rocky Linux (Agent 001) | | Wazuh 版本 | 4.14.x | | 日志来源 | /var/log/secure | | 事件类型 | 权限提升 | | 检测方法 | sudo 身份验证监控 | ## 攻击模拟 从标准用户账号执行了 sudo 命令。 ``` sudo tail -f /var/log/secure ``` 系统生成了与权限提升相关的身份验证事件。 ## 证据收集 ### 验证 sudo 活动 ``` sudo tail -f /var/log/secure ``` 观察到的事件： ``` pam_unix(sudo:auth) sudo session opened authentication failures ``` ### Threat Hunting 调查 导航至： ``` Threat Hunting → Events ``` 搜索： ``` sudo ``` 或 ``` rule.groups:sudo ``` ## 关键发现 - Wazuh 成功收集了 Linux 身份验证日志。 - sudo 活动已记录在 `/var/log/secure` 中。 - 身份验证事件可在 Threat Hunting 中查看。 - 可以使用与 sudo 相关的事件对权限提升尝试进行关联。 ## MITRE ATT&CK 映射 | 技术 | 描述 | |------------|-------------| | T1548.003 | 滥用权限提升控制机制：sudo | ## 结果 本实验验证了 Wazuh 通过 Linux 身份验证日志和 Threat Hunting 分析来监控和检测权限提升活动的能力。

标签：Wazuh, 协议分析, 安全实验, 应用安全, 权限提升