benjamingutgar/wazuh-lateral-movement-detection

GitHub: benjamingutgar/wazuh-lateral-movement-detection

基于 Wazuh SIEM 和 MITRE ATT&CK 的蓝队检测实验室,用于在 Active Directory 环境中验证横向移动技术的检测规则与告警有效性。

Stars: 0 | Forks: 0

# Wazuh 横向移动检测实验室 这是一个**蓝队检测实验室**,用于使用 **Wazuh**、**Windows Event Logs**、**Sysmon** 和 **MITRE ATT&CK** 分析 Windows 横向移动技术。 该实验室复现了三个受控场景: * **RDP 横向移动** — `T1021.001` * **SMB / 类似 PsExec 的远程执行** — `T1021.002` / `T1569.002` * **Pass-the-Hash 与 DCSync 相关证据** — `T1550.002` / `T1003.006` 本仓库侧重于检测工程,而非攻击工具。 ``` MITRE technique → detection hypothesis → telemetry → Wazuh rule → evidence → analyst interpretation ``` ## 概述 本项目记录了一个小型的 Active Directory 实验室,用于验证 Wazuh 针对横向移动的检测能力。 环境包括: | 主机 | 角色 | IP 地址 | | --------------- | --------------------------------- | --------------: | | `Wazuh-Manager` | SIEM / 监控服务器 | `192.168.56.10` | | `DC01` | Domain Controller | `192.168.56.20` | | `WS01` | 域工作站 | `192.168.56.30` | | `Kali-ATK01` | 受控攻击模拟主机 | `192.168.56.40` | 完整架构: * [`docs/lab-architecture.md`](docs/lab-architecture.md) ## 本仓库包含的内容 | 文件夹 | 内容 | | ------------------------------ | --------------------------------------------------------------------------------------- | | [`docs/`](docs/) | 架构、部署说明、遥测配置、延迟和事件报告 | | [`detections/`](detections/) | 检测假设、检测矩阵和 MITRE 技术分析文章 | | [`scenarios/`](scenarios/) | 场景执行说明、时间线和 Wazuh KQL 过滤器 | | [`evidence/`](evidence/) | 匿名化的 JSON 告警和 CSV 摘要 | | [`wazuh/rules/`](wazuh/rules/) | Wazuh 自定义规则和规则解释 | ## 检测场景 | 场景 | 技术 | 主要检测链 | 详细分析 | | ---------------------- | ------------------------ | ----------------------------------------------------------------- | ------------------------------------------------------------------------- | | RDP | `T1021.001` | RDP 登录 → 访问后进程执行 | [`T1021.001-rdp.md`](detections/T1021.001-rdp.md) | | SMB / 类似 PsExec | `T1021.002`, `T1569.002` | NTLM 登录 → 特权 → 管理共享 → 服务创建 | [`T1021.002-smb-psexec-like.md`](detections/T1021.002-smb-psexec-like.md) | | Pass-the-Hash / DCSync | `T1550.002`, `T1003.006` | 类似 DCSync 的活动 → 特权 NTLM 访问 → 关联告警 | [`T1550.002-pass-the-hash.md`](detections/T1550.002-pass-the-hash.md) | ## 检测假设 该项目围绕七个检测假设构建: | 假设 | 场景 | 目的 | | ---------- | ---------------------- | ---------------------------------------------------------------------- | | `H1` | RDP | 检测从受控攻击者主机到 `WS01` 的 RDP 访问 | | `H2` | RDP | 检测 RDP 访问后的命令执行 | | `H3` | SMB / 类似 PsExec | 检测到 `DC01` 的 NTLM 网络身份验证 | | `H4` | SMB / 类似 PsExec | 检测管理共享访问 | | `H5` | SMB / 类似 PsExec | 检测远程服务创建 | | `H6` | Pass-the-Hash | 检测兼容凭据重用的特权 NTLM 身份验证 | | `H7` | Pass-the-Hash / DCSync | 将类似 DCSync 的活动与特权访问相关联 | 完整模型: * [`detections/detection-hypotheses.md`](detections/detection-hypotheses.md) * [`detections/detection-matrix.md`](detections/detection-matrix.md) ## Wazuh 规则 自定义 Wazuh 规则位于: * [`wazuh/rules/local_rules.xml`](wazuh/rules/local_rules.xml) 规则解释: * [`wazuh/rules/rules-explanation.md`](wazuh/rules/rules-explanation.md) 主要的自定义规则: | 规则 ID | 目的 | | -------: | ------------------------------------------------------- | | `100001` | RDP 登录上下文 | | `100010` | 远程服务创建 | | `100011` | NTLM 网络登录 | | `100021` | 分配特殊特权 | | `100022` | 与 Defender 相关的活动,随后进行特权访问 | | `100030` | DCSync / 类似 secretsdump 的活动 | | `100033` | Pass-the-Hash / DCSync 关联 | ## 遥测要求 这些检测需要正确配置 Windows 和 Wazuh 的遥测。 主要文档: * [`docs/windows-audit-policy.md`](docs/windows-audit-policy.md) * [`docs/sysmon-configuration.md`](docs/sysmon-configuration.md) * [`docs/wazuh-sysmon-collection.md`](docs/wazuh-sysmon-collection.md) 相关的 Windows 事件包括: ``` 4624, 4625, 4672, 4688, 5145, 7045, 4662 ``` ## 证据 该仓库包含每个场景的匿名化证据: | 场景 | 证据 | | ---------------------- | -------------------------------------------------------- | | RDP | [`evidence/rdp/`](evidence/rdp/) | | SMB / 类似 PsExec | [`evidence/smb-psexec-like/`](evidence/smb-psexec-like/) | | Pass-the-Hash / DCSync | [`evidence/pass-the-hash/`](evidence/pass-the-hash/) | 证据包括: * 精选的 Wazuh JSON 告警; * 过滤后的 CSV 摘要; * 场景时间线。 ## 快速导航 | 用途 | 文件 | | --------------------- | -------------------------------------------------------------------------- | | 项目摘要 | [`docs/project-summary.md`](docs/project-summary.md) | | 实验室架构 | [`docs/lab-architecture.md`](docs/lab-architecture.md) | | 部署说明 | [`docs/deployment-notes.md`](docs/deployment-notes.md) | | 检测方法 | [`docs/detection-methodology.md`](docs/detection-methodology.md) | | 检测假设 | [`detections/detection-hypotheses.md`](detections/detection-hypotheses.md) | | 检测矩阵 | [`detections/detection-matrix.md`](detections/detection-matrix.md) | | 检测延迟 | [`docs/detection-latencies.md`](docs/detection-latencies.md) | | 事件报告 | [`docs/incident-reports.md`](docs/incident-reports.md) | | 更新日志 | [`CHANGELOG.md`](CHANGELOG.md) | ## 场景过滤器 每个场景都有对应的 Wazuh KQL 过滤器: * [`scenarios/rdp/wazuh-filter.kql`](scenarios/rdp/wazuh-filter.kql) * [`scenarios/smb-psexec-like/wazuh-filter.kql`](scenarios/smb-psexec-like/wazuh-filter.kql) * [`scenarios/pass-the-hash/wazuh-filter.kql`](scenarios/pass-the-hash/wazuh-filter.kql) ## 项目状态 当前公开版本: ``` 1.2.x — Detection documentation and repository consistency improvements ``` 请参阅: * [`CHANGELOG.md`](CHANGELOG.md) ## 作者 **Benjamín Gerardo Gutiérrez García**
标签:AMSI绕过, OPA, Terraform 安全, Wazuh, Windows活动目录, 威胁检测, 靶场