tonynnaemeka70-web/Threat-Hunting-MITRE-ATTACK

使用 MITRE ATT&CK 进行威胁狩猎 项目概述 本项目演示了一个使用 Sysmon 遥测并将其映射到 MITRE ATT&CK 框架的实操威胁狩猎练习。 目标是在 Windows 10 端点上识别可疑行为，并将其与已知的攻击者技术进行关联。 目标 1. 部署并配置 Sysmon 以实现端点可见性 2. 收集并分析 Windows 事件遥测 3. 基于 MITRE ATT&CK 制定威胁狩猎假设 4. 识别可疑的进程执行和网络活动 5. 记录发现的结果及支持性证据 工具与技术 Sysmon (Sysinternals) Windows 10 MITRE ATT&CK 框架 事件查看器 PowerShell Kali Linux（攻击模拟） Ubuntu SIEM（日志分析环境） 实验环境 组件 | 描述 端点 | Windows 10 监控 | Sysmon 攻击者 | Kali Linux 分析 | Ubuntu SIEM 日志 | Windows 事件日志 威胁狩猎假设 假设： 攻击者可能会尝试执行编码的 PowerShell 命令以逃避检测。 MITRE 技术 T1059.001 – 命令和脚本解释器：PowerShell 调查步骤 1. 安装并配置了 Sysmon 2. 生成了可疑的 PowerShell 活动 3. 过滤了 Sysmon 事件 ID 1（进程创建） 4. 分析了命令行参数 5. 将发现的结果与 MITRE ATT&CK 进行了关联 证据 Sysmon 事件的截图存储在 screenshots 目录中，包括： 进程创建事件 网络连接遥测 编码的 PowerShell 执行 主要发现 检测到了编码的 PowerShell 执行 Sysmon 成功捕获了进程和网络活动 行为与 MITRE ATT&CK 技术 T1059.001 匹配 经验总结 Sysmon 提供了高保真的端点遥测 由于事件量巨大，适当的过滤至关重要 MITRE ATT&CK 改善了结构化的威胁狩猎 未来改进 将日志集成到 SIEM 中（Wazuh / ELK） 创建自动化的检测规则 将狩猎范围扩展到横向移动技术 作者 Tony Nnaemeka 网络安全分析师 | SOC | 蓝队

标签：AI合规, CIDR扫描, Cloudflare, ELK, IPv6, MITRE ATT&CK, OpenCanary, PowerShell, Sysmon, Wazuh, Windows 10, 事件查看器, 安全实验室, 工具集, 恶意行为检测, 攻击模拟, 数据展示, 深度包检测, 端点安全, 红队, 网络安全, 网络安全分析, 网络连接监控, 补丁管理, 防御 evasion, 隐私保护, 驱动签名利用, 高保真遥测