gnid31/blue-team-lab
GitHub: gnid31/blue-team-lab
一套基于 Wazuh HIDS 的蓝队威胁狩猎实验室,集成了端点监控、MITRE ATT&CK 检测规则、Python IOC 富化工具及 Atomic Red Team 验证流程。
Stars: 0 | Forks: 0
# 蓝队威胁狩猎实验室(集成 Python IOC 富化)
该家庭实验室部署了 **Wazuh 4.9 HIDS**,用于监控 Windows 和 Linux 端点,并包含 **10 条映射 MITRE ATT&CK 的检测规则**,以及一个能自动查询 VirusTotal / AbuseIPDB 的 **Python 富化工具**。
## 架构
```
┌────────────────────────────┐
│ VPS (Ubuntu 22.04) │
│ Wazuh Manager + Indexer │
│ + Dashboard (AIO) │
│ :1514 (agents) :443 UI │
└──────────────┬─────────────┘
│ agent enrollment
┌─────────────────────┼─────────────────────┐
│ │ │
┌─────────▼─────────┐ ┌─────────▼─────────┐ ┌─────────▼─────────┐
│ Windows 10/11 VM │ │ Ubuntu 22.04 VM │ │ Kali host │
│ (VMware) │ │ (VMware) │ │ - Enrichment CLI │
│ Sysmon + WazuhAgt │ │ auditd + WazuhAgt │ │ - Repo control │
└───────────────────┘ └───────────────────┘ └───────────────────┘
```
## 仓库结构
| 目录 | 内容 |
|--------------------|----------------------------------------------------------------|
| `docs/` | 分阶段指南(GUI + CLI) |
| `wazuh-rules/` | 10 条映射 MITRE ATT&CK 的自定义检测规则 XML |
| `sysmon/` | Sysmon 配置(SwiftOnSecurity fork,已调优) |
| `auditd/` | Linux auditd 规则集 |
| `enrichment/` | Python 工具:读取告警 → 查询 VT/AbuseIPDB → 记录结论 |
| `hunting-reports/` | 每次会话的狩猎报告(Atomic Red Team) |
| `atomic/` | Atomic Red Team 的测试计划 / 剧本 |
| `PROJECT_LOG.md` | **共享日志**(适用于 Claude (Kali) + Gemini Agent (Win/Linux VM)) |
## 阶段路线图
1. **阶段 1** — 在 VPS 上部署 Wazuh AIO
2. **阶段 2** — 注册 Ubuntu 端点 + auditd
3. **阶段 3** — 注册 Windows 端点 + Sysmon
4. **阶段 4** — 编写 10 条检测规则(MITRE ATT&CK)
5. **阶段 5** — Python IOC 富化工具(VirusTotal + AbuseIPDB)
6. **阶段 6** — Atomic Red Team 狩猎会话 + 报告
查看 `PROJECT_LOG.md` 以了解当前状态。
标签:Python, Wazuh, 威胁情报, 安全实验室, 开发者工具, 无后门, 逆向工具