MartyDickerson/wazuh-powershell-detection
GitHub: MartyDickerson/wazuh-powershell-detection
一套针对 Wazuh 平台的自定义检测规则,用于识别和告警 PowerShell 滥用行为,涵盖编码命令、下载底座、执行策略绕过等攻击技术。
Stars: 0 | Forks: 0
# 🛡️ Wazuh PowerShell 滥用检测实验室
**作者:** Marty Dickerson | [@cyberintelhq](https://github.com/MartyDickerson)
**MITRE ATT&CK:** T1059.001, T1027, T1105, T1562, T1564
**严重程度:** 高 (Level 10–14)
**环境:** SOC 家庭实验室 — Wazuh 4.x + Windows 10 Agent
## 📋 概述
用于检测 PowerShell 滥用的自定义 Wazuh 规则 —— 这是最常见的现实攻击技术之一。
| Rule ID | 检测内容 | MITRE | 严重程度 |
|---------|-----------|-------|----------|
| 100010 | 编码命令 (`-enc`) | T1059.001, T1027 | 12 |
| 100011 | 下载底座 (`IEX`, `WebClient`) | T1059.001, T1105 | 14 |
| 100012 | 执行策略绕过 | T1059.001, T1562 | 10 |
| 100013 | 隐藏窗口 | T1059.001, T1564 | 10 |
## 🏗️ 实验室环境
标签:AI合规, DNS 反向解析, IPv6, OpenCanary, PowerShell, Wazuh, 安全运营, 扫描框架, 网络信息收集