EvanYoussef/Wazuh-Detection-Engineering-Lab

GitHub: EvanYoussef/Wazuh-Detection-Engineering-Lab

基于 Wazuh SIEM 和 Sysmon 构建的检测工程实验环境,通过模拟攻击者技术并映射 MITRE ATT&CK 来开发和验证自定义检测规则。

Stars: 0 | Forks: 0

# Wazuh-Detection-Engineering-Lab 为 Evan Youssef 的简历创建的 SOC 环境。 # Wazuh 检测工程实验室 ## 概述 本仓库记录了使用 **Wazuh SIEM**、**Sysmon**、**Windows 11**、**Ubuntu Server**、**Kali Linux** 和 **VMware Workstation** 设计、实施和验证检测工程实验室的过程。 本项目的目的是模拟真实的攻击者技术,收集端点遥测数据,开发自定义的 Wazuh 检测规则,并使用 **MITRE ATT&CK Framework** 验证检测结果。 本项目通过实践性的攻击模拟、日志分析、自定义规则开发和事件调查,展示了实用的安全运营中心 (SOC) 和检测工程技能。 # 目标 * 构建企业级 SIEM 实验环境 * 配置 Wazuh Manager、Indexer 和 Dashboard * 使用 Sysmon 和 Wazuh Agent 部署 Windows 端点 * 生成真实的攻击活动 * 开发自定义 Wazuh 检测规则 * 使用端点遥测数据验证检测 * 将检测结果映射到 MITRE ATT&CK Framework * 通过截图、攻击模拟和技术分析记录每一次检测 # 实验架构 宿主机 * Windows 11 * VMware Workstation 虚拟机 * Ubuntu Server * Wazuh Manager * Wazuh Dashboard * Wazuh Indexer * Windows 11 * Sysmon * Wazuh Agent * Kali Linux * 攻击模拟 # 使用的技术 ## 操作系统 * Ubuntu Server * Windows 11 * Kali Linux ## 安全工具 * Wazuh SIEM * Sysmon * PowerShell * MITRE ATT&CK Framework ## 虚拟化 * VMware Workstation ## 语言 * XML * PowerShell * Linux Bash ## 调查工具 * Discover (Wazuh Dashboard) * DQL (Dashboard Query Language) # 检测覆盖范围 ## 执行 * ✅ 编码的 PowerShell 执行 * ⏳ PowerShell 下载 Cradle (Invoke-WebRequest) * ⏳ Invoke-Expression (IEX) * ⏳ 可疑的 cmd.exe 执行 ## 防御规避 * ⏳ mshta.exe * ⏳ regsvr32.exe * ⏳ rundll32.exe ## 持久化 * ⏳ 注册表 Run Keys * ⏳ 计划任务 ## 凭据访问 * ⏳ LSASS 内存访问 * ⏳ Mimikatz 指示器 ## 发现 * ⏳ 网络发现 * ⏳ SMB 共享枚举 ## 横向移动 * ⏳ PsExec * ⏳ 远程桌面 (RDP) # 仓库结构 ``` Wazuh-Detection-Engineering-Lab/ │ ├── README.md │ ├── Lab-Architecture/ │ ├── Detections/ │ ├── 01-Encoded-PowerShell/ │ ├── 02-Invoke-WebRequest/ │ ├── 03-Certutil/ │ ├── 04-mshta/ │ ├── 05-rundll32/ │ └── ... │ ├── Screenshots/ │ ├── Reports/ │ └── Resources/ ``` # 检测方法论 每次检测都遵循相同的工作流程: 1. 模拟攻击者行为 2. 使用 Sysmon 收集端点遥测数据 3. 通过 Wazuh Agent 转发日志 4. 在 Wazuh 中分析遥测数据 5. 开发自定义检测规则 6. 验证检测是否成功 7. 记录发现结果 8. 将技术映射到 MITRE ATT&CK # 检测示例 ## 检测 PowerShell Base64 编码命令执行 ### MITRE ATT&CK 技术: * T1059.001 – PowerShell 战术: * 执行 ### 攻击模拟 ``` powershell.exe -EncodedCommand RwBlAHQALQBEAGEAdABlAA== ``` ### 结果 * 使用 Sysmon Event ID 1 成功检测 * 创建了自定义 Wazuh 检测规则 * 通过 Wazuh Dashboard 验证了检测结果 # 展示的技能 * 检测工程 * 安全监控 * 威胁检测 * SIEM 管理 * 端点遥测 * Sysmon 配置 * Wazuh 规则开发 * Windows 事件分析 * MITRE ATT&CK 映射 * DQL 查询 * XML 规则开发 * Linux 管理 * VMware 虚拟化 * 安全运营 * 事件调查 # 经验总结 通过这个项目,我获得了部署和管理 SIEM 环境、使用 Sysmon 配置端点遥测、开发自定义 Wazuh 检测规则、调查 Windows 事件、针对模拟攻击验证检测以及将警报映射到 MITRE ATT&CK 框架的实践经验。该项目还增强了我的故障排除、日志分析和检测工程技能。 # 未来增强计划 * Active Directory 集成 * Linux 端点监控 * Sigma 规则转换 * 威胁情报集成 * VirusTotal 集成 * 电子邮件告警 * SOAR 自动化 * 增加 Windows 端点 * 检测调优 * 仪表板可视化 # 免责声明 本项目旨在用于隔离的虚拟实验室环境中的教育目的。所有攻击模拟均在作者拥有和控制的系统上进行。未经明确授权,绝不应将本仓库中演示的任何技术用于针对他人的系统。
标签:AI合规, BurpSuite集成, Cloudflare, DNS 反向解析, MITRE ATT&CK, Sysmon, Wazuh, 安全实验室, 安全运营中心, 知识库安全, 网络映射