EvanYoussef/Wazuh-Detection-Engineering-Lab
GitHub: EvanYoussef/Wazuh-Detection-Engineering-Lab
基于 Wazuh SIEM 和 Sysmon 构建的检测工程实验环境,通过模拟攻击者技术并映射 MITRE ATT&CK 来开发和验证自定义检测规则。
Stars: 0 | Forks: 0
# Wazuh-Detection-Engineering-Lab
为 Evan Youssef 的简历创建的 SOC 环境。
# Wazuh 检测工程实验室
## 概述
本仓库记录了使用 **Wazuh SIEM**、**Sysmon**、**Windows 11**、**Ubuntu Server**、**Kali Linux** 和 **VMware Workstation** 设计、实施和验证检测工程实验室的过程。
本项目的目的是模拟真实的攻击者技术,收集端点遥测数据,开发自定义的 Wazuh 检测规则,并使用 **MITRE ATT&CK Framework** 验证检测结果。
本项目通过实践性的攻击模拟、日志分析、自定义规则开发和事件调查,展示了实用的安全运营中心 (SOC) 和检测工程技能。
# 目标
* 构建企业级 SIEM 实验环境
* 配置 Wazuh Manager、Indexer 和 Dashboard
* 使用 Sysmon 和 Wazuh Agent 部署 Windows 端点
* 生成真实的攻击活动
* 开发自定义 Wazuh 检测规则
* 使用端点遥测数据验证检测
* 将检测结果映射到 MITRE ATT&CK Framework
* 通过截图、攻击模拟和技术分析记录每一次检测
# 实验架构
宿主机
* Windows 11
* VMware Workstation
虚拟机
* Ubuntu Server
* Wazuh Manager
* Wazuh Dashboard
* Wazuh Indexer
* Windows 11
* Sysmon
* Wazuh Agent
* Kali Linux
* 攻击模拟
# 使用的技术
## 操作系统
* Ubuntu Server
* Windows 11
* Kali Linux
## 安全工具
* Wazuh SIEM
* Sysmon
* PowerShell
* MITRE ATT&CK Framework
## 虚拟化
* VMware Workstation
## 语言
* XML
* PowerShell
* Linux Bash
## 调查工具
* Discover (Wazuh Dashboard)
* DQL (Dashboard Query Language)
# 检测覆盖范围
## 执行
* ✅ 编码的 PowerShell 执行
* ⏳ PowerShell 下载 Cradle (Invoke-WebRequest)
* ⏳ Invoke-Expression (IEX)
* ⏳ 可疑的 cmd.exe 执行
## 防御规避
* ⏳ mshta.exe
* ⏳ regsvr32.exe
* ⏳ rundll32.exe
## 持久化
* ⏳ 注册表 Run Keys
* ⏳ 计划任务
## 凭据访问
* ⏳ LSASS 内存访问
* ⏳ Mimikatz 指示器
## 发现
* ⏳ 网络发现
* ⏳ SMB 共享枚举
## 横向移动
* ⏳ PsExec
* ⏳ 远程桌面 (RDP)
# 仓库结构
```
Wazuh-Detection-Engineering-Lab/
│
├── README.md
│
├── Lab-Architecture/
│
├── Detections/
│ ├── 01-Encoded-PowerShell/
│ ├── 02-Invoke-WebRequest/
│ ├── 03-Certutil/
│ ├── 04-mshta/
│ ├── 05-rundll32/
│ └── ...
│
├── Screenshots/
│
├── Reports/
│
└── Resources/
```
# 检测方法论
每次检测都遵循相同的工作流程:
1. 模拟攻击者行为
2. 使用 Sysmon 收集端点遥测数据
3. 通过 Wazuh Agent 转发日志
4. 在 Wazuh 中分析遥测数据
5. 开发自定义检测规则
6. 验证检测是否成功
7. 记录发现结果
8. 将技术映射到 MITRE ATT&CK
# 检测示例
## 检测
PowerShell Base64 编码命令执行
### MITRE ATT&CK
技术:
* T1059.001 – PowerShell
战术:
* 执行
### 攻击模拟
```
powershell.exe -EncodedCommand RwBlAHQALQBEAGEAdABlAA==
```
### 结果
* 使用 Sysmon Event ID 1 成功检测
* 创建了自定义 Wazuh 检测规则
* 通过 Wazuh Dashboard 验证了检测结果
# 展示的技能
* 检测工程
* 安全监控
* 威胁检测
* SIEM 管理
* 端点遥测
* Sysmon 配置
* Wazuh 规则开发
* Windows 事件分析
* MITRE ATT&CK 映射
* DQL 查询
* XML 规则开发
* Linux 管理
* VMware 虚拟化
* 安全运营
* 事件调查
# 经验总结
通过这个项目,我获得了部署和管理 SIEM 环境、使用 Sysmon 配置端点遥测、开发自定义 Wazuh 检测规则、调查 Windows 事件、针对模拟攻击验证检测以及将警报映射到 MITRE ATT&CK 框架的实践经验。该项目还增强了我的故障排除、日志分析和检测工程技能。
# 未来增强计划
* Active Directory 集成
* Linux 端点监控
* Sigma 规则转换
* 威胁情报集成
* VirusTotal 集成
* 电子邮件告警
* SOAR 自动化
* 增加 Windows 端点
* 检测调优
* 仪表板可视化
# 免责声明
本项目旨在用于隔离的虚拟实验室环境中的教育目的。所有攻击模拟均在作者拥有和控制的系统上进行。未经明确授权,绝不应将本仓库中演示的任何技术用于针对他人的系统。
标签:AI合规, BurpSuite集成, Cloudflare, DNS 反向解析, MITRE ATT&CK, Sysmon, Wazuh, 安全实验室, 安全运营中心, 知识库安全, 网络映射