brandongracy/Threat-Hunting-PsExec-Activity

# 🔍 Elastic SIEM – 安全监控与 MITRE ATT&CK 映射 ## 📌 概述 本实验重点在于使用 Elastic SIEM 配置、启用和分析安全检测规则，并将其映射到 MITRE ATT&CK 框架。 目标是在受控环境中生成安全事件、触发警报并分析检测结果。 ## 🛠️ 使用的工具 - Elastic Security (SIEM) - Windows 虚拟机 - MITRE ATT&CK 框架 ## ⚙️ 配置 - 启用了内置检测规则： - 检测到潜在的网络扫描 - 多次登录失败（暴力破解检测） - 验证了 MITRE ATT&CK 映射： - 侦察 → 主动扫描 - 凭证访问 → 暴力破解 - 发现 → 网络服务发现 ## 🧪 测试 - 在 Windows 虚拟机上模拟失败的认证尝试 - 触发了暴力破解检测规则 - 在 Elastic SIEM 中生成并验证了安全警报 ## 📊 结果 - 成功生成安全警报 - 事件被正确记录和关联 - 检测到： - 失败的登录尝试 - 网络扫描行为 ## 🔐 关键收获 - SIEM 事件检测和警报工作流 - MITRE ATT&CK 框架的实际应用 - 识别暴力破解和侦察活动

标签：AMSI绕过, ATT&CK映射, Cloudflare, Elastic SIEM, FOFA, meg, MITRE ATT&CK, SIEM配置, Windows虚拟机, 云存储安全, 信息安全, 免杀技术, 威胁检测, 安全告警, 安全实验室, 安全运营, 密码管理, 扫描框架, 插件系统, 暴力破解检测, 红队行动, 网络安全, 网络扫描, 身份验证失败, 速率限制处理, 隐私保护