Aleksander9191/Wazuh-detection-Rules
GitHub: Aleksander9191/Wazuh-detection-Rules
一套基于 Sysmon 和 Windows 安全事件日志的 Wazuh 自定义检测规则,用于在家庭 SOC 实验环境中识别系统侦察类行为。
Stars: 0 | Forks: 0
# Wazuh Detection Pack
基于 Sysmon 和 Windows Security Events 的 Wazuh 自定义检测规则。
此仓库是我的 Home SOC Lab 的一部分,专注于 Detection Engineering。
## 环境
- Wazuh SIEM
- Windows Server (Active Directory)
- Windows 10 Workstation
- Sysmon
- Kali Linux (攻击模拟)
## 结构
rules/
tests/
screenshots/
docs/
## 当前检测项
- net user
- whoami
- hostname
- ipconfig
- systeminfo
随着时间的推移,将添加更多检测项。
标签:AMSI绕过, Sysmon, Wazuh, 后渗透, 威胁检测, 安全运营, 扫描框架, 无线安全