benjamingutgar/wazuh-lateral-movement-detection
GitHub: benjamingutgar/wazuh-lateral-movement-detection
基于 Wazuh SIEM 和 MITRE ATT&CK 的蓝队检测实验室,用于在 Active Directory 环境中验证横向移动技术的检测规则与告警有效性。
Stars: 0 | Forks: 0
# Wazuh 横向移动检测实验室
这是一个**蓝队检测实验室**,用于使用 **Wazuh**、**Windows Event Logs**、**Sysmon** 和 **MITRE ATT&CK** 分析 Windows 横向移动技术。
该实验室复现了三个受控场景:
* **RDP 横向移动** — `T1021.001`
* **SMB / 类似 PsExec 的远程执行** — `T1021.002` / `T1569.002`
* **Pass-the-Hash 与 DCSync 相关证据** — `T1550.002` / `T1003.006`
本仓库侧重于检测工程,而非攻击工具。
```
MITRE technique → detection hypothesis → telemetry → Wazuh rule → evidence → analyst interpretation
```
## 概述
本项目记录了一个小型的 Active Directory 实验室,用于验证 Wazuh 针对横向移动的检测能力。
环境包括:
| 主机 | 角色 | IP 地址 |
| --------------- | --------------------------------- | --------------: |
| `Wazuh-Manager` | SIEM / 监控服务器 | `192.168.56.10` |
| `DC01` | Domain Controller | `192.168.56.20` |
| `WS01` | 域工作站 | `192.168.56.30` |
| `Kali-ATK01` | 受控攻击模拟主机 | `192.168.56.40` |
完整架构:
* [`docs/lab-architecture.md`](docs/lab-architecture.md)
## 本仓库包含的内容
| 文件夹 | 内容 |
| ------------------------------ | --------------------------------------------------------------------------------------- |
| [`docs/`](docs/) | 架构、部署说明、遥测配置、延迟和事件报告 |
| [`detections/`](detections/) | 检测假设、检测矩阵和 MITRE 技术分析文章 |
| [`scenarios/`](scenarios/) | 场景执行说明、时间线和 Wazuh KQL 过滤器 |
| [`evidence/`](evidence/) | 匿名化的 JSON 告警和 CSV 摘要 |
| [`wazuh/rules/`](wazuh/rules/) | Wazuh 自定义规则和规则解释 |
## 检测场景
| 场景 | 技术 | 主要检测链 | 详细分析 |
| ---------------------- | ------------------------ | ----------------------------------------------------------------- | ------------------------------------------------------------------------- |
| RDP | `T1021.001` | RDP 登录 → 访问后进程执行 | [`T1021.001-rdp.md`](detections/T1021.001-rdp.md) |
| SMB / 类似 PsExec | `T1021.002`, `T1569.002` | NTLM 登录 → 特权 → 管理共享 → 服务创建 | [`T1021.002-smb-psexec-like.md`](detections/T1021.002-smb-psexec-like.md) |
| Pass-the-Hash / DCSync | `T1550.002`, `T1003.006` | 类似 DCSync 的活动 → 特权 NTLM 访问 → 关联告警 | [`T1550.002-pass-the-hash.md`](detections/T1550.002-pass-the-hash.md) |
## 检测假设
该项目围绕七个检测假设构建:
| 假设 | 场景 | 目的 |
| ---------- | ---------------------- | ---------------------------------------------------------------------- |
| `H1` | RDP | 检测从受控攻击者主机到 `WS01` 的 RDP 访问 |
| `H2` | RDP | 检测 RDP 访问后的命令执行 |
| `H3` | SMB / 类似 PsExec | 检测到 `DC01` 的 NTLM 网络身份验证 |
| `H4` | SMB / 类似 PsExec | 检测管理共享访问 |
| `H5` | SMB / 类似 PsExec | 检测远程服务创建 |
| `H6` | Pass-the-Hash | 检测兼容凭据重用的特权 NTLM 身份验证 |
| `H7` | Pass-the-Hash / DCSync | 将类似 DCSync 的活动与特权访问相关联 |
完整模型:
* [`detections/detection-hypotheses.md`](detections/detection-hypotheses.md)
* [`detections/detection-matrix.md`](detections/detection-matrix.md)
## Wazuh 规则
自定义 Wazuh 规则位于:
* [`wazuh/rules/local_rules.xml`](wazuh/rules/local_rules.xml)
规则解释:
* [`wazuh/rules/rules-explanation.md`](wazuh/rules/rules-explanation.md)
主要的自定义规则:
| 规则 ID | 目的 |
| -------: | ------------------------------------------------------- |
| `100001` | RDP 登录上下文 |
| `100010` | 远程服务创建 |
| `100011` | NTLM 网络登录 |
| `100021` | 分配特殊特权 |
| `100022` | 与 Defender 相关的活动,随后进行特权访问 |
| `100030` | DCSync / 类似 secretsdump 的活动 |
| `100033` | Pass-the-Hash / DCSync 关联 |
## 遥测要求
这些检测需要正确配置 Windows 和 Wazuh 的遥测。
主要文档:
* [`docs/windows-audit-policy.md`](docs/windows-audit-policy.md)
* [`docs/sysmon-configuration.md`](docs/sysmon-configuration.md)
* [`docs/wazuh-sysmon-collection.md`](docs/wazuh-sysmon-collection.md)
相关的 Windows 事件包括:
```
4624, 4625, 4672, 4688, 5145, 7045, 4662
```
## 证据
该仓库包含每个场景的匿名化证据:
| 场景 | 证据 |
| ---------------------- | -------------------------------------------------------- |
| RDP | [`evidence/rdp/`](evidence/rdp/) |
| SMB / 类似 PsExec | [`evidence/smb-psexec-like/`](evidence/smb-psexec-like/) |
| Pass-the-Hash / DCSync | [`evidence/pass-the-hash/`](evidence/pass-the-hash/) |
证据包括:
* 精选的 Wazuh JSON 告警;
* 过滤后的 CSV 摘要;
* 场景时间线。
## 快速导航
| 用途 | 文件 |
| --------------------- | -------------------------------------------------------------------------- |
| 项目摘要 | [`docs/project-summary.md`](docs/project-summary.md) |
| 实验室架构 | [`docs/lab-architecture.md`](docs/lab-architecture.md) |
| 部署说明 | [`docs/deployment-notes.md`](docs/deployment-notes.md) |
| 检测方法 | [`docs/detection-methodology.md`](docs/detection-methodology.md) |
| 检测假设 | [`detections/detection-hypotheses.md`](detections/detection-hypotheses.md) |
| 检测矩阵 | [`detections/detection-matrix.md`](detections/detection-matrix.md) |
| 检测延迟 | [`docs/detection-latencies.md`](docs/detection-latencies.md) |
| 事件报告 | [`docs/incident-reports.md`](docs/incident-reports.md) |
| 更新日志 | [`CHANGELOG.md`](CHANGELOG.md) |
## 场景过滤器
每个场景都有对应的 Wazuh KQL 过滤器:
* [`scenarios/rdp/wazuh-filter.kql`](scenarios/rdp/wazuh-filter.kql)
* [`scenarios/smb-psexec-like/wazuh-filter.kql`](scenarios/smb-psexec-like/wazuh-filter.kql)
* [`scenarios/pass-the-hash/wazuh-filter.kql`](scenarios/pass-the-hash/wazuh-filter.kql)
## 项目状态
当前公开版本:
```
1.2.x — Detection documentation and repository consistency improvements
```
请参阅:
* [`CHANGELOG.md`](CHANGELOG.md)
## 作者
**Benjamín Gerardo Gutiérrez García**
标签:AMSI绕过, OPA, Terraform 安全, Wazuh, Windows活动目录, 威胁检测, 靶场