gnid31/blue-team-lab

GitHub: gnid31/blue-team-lab

一套基于 Wazuh HIDS 的蓝队威胁狩猎实验室,集成了端点监控、MITRE ATT&CK 检测规则、Python IOC 富化工具及 Atomic Red Team 验证流程。

Stars: 0 | Forks: 0

# 蓝队威胁狩猎实验室(集成 Python IOC 富化) 该家庭实验室部署了 **Wazuh 4.9 HIDS**,用于监控 Windows 和 Linux 端点,并包含 **10 条映射 MITRE ATT&CK 的检测规则**,以及一个能自动查询 VirusTotal / AbuseIPDB 的 **Python 富化工具**。 ## 架构 ``` ┌────────────────────────────┐ │ VPS (Ubuntu 22.04) │ │ Wazuh Manager + Indexer │ │ + Dashboard (AIO) │ │ :1514 (agents) :443 UI │ └──────────────┬─────────────┘ │ agent enrollment ┌─────────────────────┼─────────────────────┐ │ │ │ ┌─────────▼─────────┐ ┌─────────▼─────────┐ ┌─────────▼─────────┐ │ Windows 10/11 VM │ │ Ubuntu 22.04 VM │ │ Kali host │ │ (VMware) │ │ (VMware) │ │ - Enrichment CLI │ │ Sysmon + WazuhAgt │ │ auditd + WazuhAgt │ │ - Repo control │ └───────────────────┘ └───────────────────┘ └───────────────────┘ ``` ## 仓库结构 | 目录 | 内容 | |--------------------|----------------------------------------------------------------| | `docs/` | 分阶段指南(GUI + CLI) | | `wazuh-rules/` | 10 条映射 MITRE ATT&CK 的自定义检测规则 XML | | `sysmon/` | Sysmon 配置(SwiftOnSecurity fork,已调优) | | `auditd/` | Linux auditd 规则集 | | `enrichment/` | Python 工具:读取告警 → 查询 VT/AbuseIPDB → 记录结论 | | `hunting-reports/` | 每次会话的狩猎报告(Atomic Red Team) | | `atomic/` | Atomic Red Team 的测试计划 / 剧本 | | `PROJECT_LOG.md` | **共享日志**(适用于 Claude (Kali) + Gemini Agent (Win/Linux VM)) | ## 阶段路线图 1. **阶段 1** — 在 VPS 上部署 Wazuh AIO 2. **阶段 2** — 注册 Ubuntu 端点 + auditd 3. **阶段 3** — 注册 Windows 端点 + Sysmon 4. **阶段 4** — 编写 10 条检测规则(MITRE ATT&CK) 5. **阶段 5** — Python IOC 富化工具(VirusTotal + AbuseIPDB) 6. **阶段 6** — Atomic Red Team 狩猎会话 + 报告 查看 `PROJECT_LOG.md` 以了解当前状态。
标签:Python, Wazuh, 威胁情报, 安全实验室, 开发者工具, 无后门, 逆向工具