ibernal1815/sysmon-sysinternals-detection-lab
GitHub: ibernal1815/sysmon-sysinternals-detection-lab
使用Sysmon和Sysinternals套件构建的检测工程实验室,通过实战演练帮助安全团队识别攻击技术并开发检测规则。
Stars: 0 | Forks: 0
# sysmon 检测实验室
一个动手实践的Windows检测实验室,旨在通过使用Sysmon和Sysinternals套件在事件级别识别攻击者的战术、技术和过程。每个场景都映射到MITRE ATT&CK,并记录了真实日志、触发的具体事件ID以及捕获它的检测逻辑。
这是一个持续进行中的项目。任何场景都必须完全记录实际日志输出和有效的检测规则后,才会被添加到场景列表中。
## 背景
阅读Sysmon事件ID是一回事。目睹凭证转储过程,然后找出确切触发了哪些事件及其原因则是另一回事。我想要一个可以运行真实技术、捕获实际日志,并基于所见而非文档来构建检测方案的实验室。
目标不是收集攻击脚本,而是从防御者角度充分理解每种技术的表现,以便编写能够捕获它的检测逻辑。
## 环境
在隔离的VirtualBox内部网络上设置三台虚拟机。
受害者是Windows 11 Enterprise,部署了Sysmon,使用SwiftOnSecurity的配置作为基线。攻击者是运行标准攻击工具的Kali Linux。有一个可选的Ubuntu ELK Stack虚拟机用于日志聚合,但大多数分析直接在事件查看器和Sysinternals工具中完成,以贴近SOC分析师日常实际使用的方式。
主机规格为Intel i5-14400F、48GB DDR4和1TB NVMe,运行Windows 11和VirtualBox 7。
## 设置
`setup/` 文件夹包含Sysmon配置XML文件和虚拟机网络指南。在运行任何场景之前,请先从这里开始。
```
git clone https://github.com/ibernal1815/sysmon-detection-lab.git
cd sysmon-detection-lab
```
按照 `setup/vm-setup-guide.md` 配置VirtualBox内部网络并配置虚拟机,然后使用 `setup/sysmon-config.xml` 在受害者机器上部署Sysmon。
## 场景
| ID | 技术 | MITRE | 状态 |
|----|------|-------|------|
| 01 | 通过注册表运行键实现持久化 | T1547.001 | 进行中 |
| 02 | 通过LSASS转储凭证 | T1003.001 | 计划中 |
| 03 | 通过PsExec进行横向移动 | T1570 | 计划中 |
| 04 | DLL注入 | T1055.001 | 计划中 |
每个场景文件夹包含攻击步骤、触发的Sysmon事件ID、原始日志输出、Sysinternals工具检测演练以及一个Sigma规则。
## 项目布局
```
setup/ lab setup guides and Sysmon config
scenarios/ attack scenarios with detection walkthroughs
detections/ Sigma rules and Sysmon filter logic per scenario
```
## 工具
检测:Sysmon, Process Explorer, Process Monitor, Autoruns, TCPView, ProcDump, Windows事件查看器, 可选的Elastic Stack用于日志搜索。
攻击模拟:Metasploit, Mimikatz, 自定义PowerShell脚本。
## 参考文献
[SwiftOnSecurity Sysmon配置](https://github.com/SwiftOnSecurity/sysmon-config)
[MITRE ATT&CK](https://attack.mitre.org/)
[Sysinternals文档](https://docs.microsoft.com/en-us/sysinternals/)
[终极Windows安全事件百科](https://www.ultimatewindowssecurity.com/)
## 技术栈
Sysmon · Sysinternals套件 · Windows事件查看器 · Elastic Stack · Sigma · Kali Linux · VirtualBox
## 法律声明
本实验室中的所有技术仅在隔离的虚拟环境中执行,仅用于教育目的。请勿将其用于非您所有或未获得明确书面测试许可的系统。
标签:AI合规, AMSI绕过, Cloudflare, Conpot, ELK Stack, MITRE ATT&CK, MIT许可证, SOC分析, Sysinternals, Sysmon, TTP识别, VirtualBox, Windows安全, 事件日志, 事件查看器, 凭证转储, 威胁检测, 安全实验室, 安全工程, 安全运营中心, 持久化检测, 攻击技术, 攻击模拟, 日志聚合, 网络安全, 网络映射, 虚拟化环境, 防御策略, 隐私保护, 驱动签名利用