Aleksander9191/Wazuh-detection-Rules

GitHub: Aleksander9191/Wazuh-detection-Rules

一套基于 Sysmon 和 Windows 安全事件日志的 Wazuh 自定义检测规则,用于在家庭 SOC 实验环境中识别系统侦察类行为。

Stars: 0 | Forks: 0

# Wazuh Detection Pack 基于 Sysmon 和 Windows Security Events 的 Wazuh 自定义检测规则。 此仓库是我的 Home SOC Lab 的一部分,专注于 Detection Engineering。 ## 环境 - Wazuh SIEM - Windows Server (Active Directory) - Windows 10 Workstation - Sysmon - Kali Linux (攻击模拟) ## 结构 rules/ tests/ screenshots/ docs/ ## 当前检测项 - net user - whoami - hostname - ipconfig - systeminfo 随着时间的推移,将添加更多检测项。
标签:AMSI绕过, Sysmon, Wazuh, 后渗透, 威胁检测, 安全运营, 扫描框架, 无线安全