Aminelm1/wazuh-active-directory-detection-lab
GitHub: Aminelm1/wazuh-active-directory-detection-lab
基于 Wazuh 和 Sysmon 构建的蓝队实验室,用于在 Active Directory 环境中模拟攻击并验证 MITRE ATT&CK 检测规则的有效性。
Stars: 0 | Forks: 0
# wazuh-active-directory-detection-lab
使用 Wazuh、Sysmon、Windows Server Active Directory、Atomic Red Team 以及自定义 MITRE ATT&CK 检测规则的蓝队实验室。
# Wazuh Active Directory 检测实验室
## 目标
本项目展示了一个蓝队实验室,旨在使用 Wazuh、Sysmon、Windows Server Active Directory 和 Atomic Red Team 来检测 MITRE ATT&CK 技术。
## 实验室组件
- Windows Server 2022:Active Directory、DNS、Wazuh Agent、Sysmon
- Windows 10:加入域的终端、Wazuh Agent、Sysmon、Atomic Red Team
- Ubuntu Server:Wazuh Manager、Indexer、Dashboard
- Kali Linux:攻击者/测试机
## 检测用例
- T1016 网络配置发现
- T1049 系统网络连接发现
- T1018 远程系统发现
- T1087.002 域账户发现
- T1069.002 域组发现
## 自定义 Wazuh 规则
在 `local_rules.xml` 中创建了 ID 为 100101 到 100105 的自定义规则。
## 展示技能
- SIEM 部署
- Windows 事件监控
- Sysmon 遥测
- Wazuh 自定义规则
- MITRE ATT&CK 映射
- Active Directory 安全监控
- PowerShell 强化自动化
标签:AI合规, ATT&CK检测, Mr. Robot, Sysmon, Wazuh, Windows Active Directory, 后渗透