Akash007-sk/-INFOTACT-PROJECT-2---Enterprise-EDR-Threat-Hunting-Grid

# -INFOTACT-PROJECT-2---企业 EDR 威胁狩猎 Grid # 实习项目报告 ## 使用 Wazuh 和 Sysmon 的企业 EDR 与威胁狩猎网格 # 1. 引言 在当今的数字世界中，网络安全已成为每个组织不可或缺的一部分。随着基于互联网的服务、云计算和互联系统的使用日益增加，网络威胁的数量也显著增加。组织面临不同类型的网络攻击，例如恶意软件感染、勒索软件攻击、钓鱼攻击、暴力破解登录尝试和未授权的系统访问。这些攻击可能会对组织的数据、声誉和财务稳定性造成严重损害。 为了保护系统和网络免受这些威胁，组织部署了安全运营中心 (SOC)。SOC 负责实时监控、检测、分析和响应安全事件。安全监控系统从多台机器收集日志并进行分析，以识别可疑行为。 本次实习项目侧重于利用现代网络安全工具实施 **企业端点检测与响应 (EDR) 及威胁狩猎网格**。该系统旨在从端点机器收集安全日志，分析其中的可疑活动，并在检测到潜在威胁时生成警报。 该项目使用 **Wazuh** 作为中央安全监控平台。Wazuh 从多个系统收集日志，使用预定义的规则对其进行分析，并针对可疑活动生成警报。 为了对 Windows 系统进行高级监控，系统中集成了 **Sysmon**。Sysmon 提供了对系统活动（如进程执行、网络连接和文件更改）的详细日志记录。这些日志有助于检测可能表明网络攻击的恶意活动。 该项目还结合了 **MITRE ATT&CK** 框架，通过将警报映射到攻击者使用的特定战术和技术，帮助安全分析师了解攻击者的行为。 本项目的目标是模拟一个小型企业安全监控环境，展示现代 SOC 团队如何检测和响应网络威胁。 # 2. 项目目标 本实习项目的主要目标是设计并实施一个能够检测端点机器上可疑活动的集中式安全监控系统。 另一个重要目标是开发一个端点检测与响应 (EDR) 环境，该环境可持续监控系统活动并在检测到潜在威胁时生成警报。 该项目还旨在演示文件完整性监控的实施，以检测对关键系统文件的未授权更改。 此外，项目侧重于将系统监控工具与安全平台集成，以便收集详细的系统日志进行分析。 项目的另一个目标是在受控环境中模拟网络攻击，并观察监控系统如何检测和响应这些攻击。 最后，该项目旨在演示如何将安全警报映射到 MITRE ATT&CK 框架，以便更好地了解攻击者使用的战术和技术。 # 3. 项目范围 本项目的范围包括设计和实施一个小规模的企业安全监控系统，该系统能够检测端点机器上发生的可疑活动。 该系统监控操作系统和安全监控工具生成的日志。这些日志由中央监控平台进行分析，以检测潜在的安全威胁。 项目主要侧重于端点安全监控，而不是全面的网络入侵检测。它演示了如何利用系统日志来识别恶意活动，例如未授权的文件修改、可疑的进程执行和重复的登录失败。 项目环境使用虚拟机创建，以模拟小型企业网络环境。这允许监控系统从多台机器收集日志并进行集中分析。 尽管该系统是在实验室环境中实施的，但所使用的架构和技术与实际企业安全运营中心使用的架构和技术相似。 # 4. 使用的工具和技术 在本实习项目的实施过程中，使用了几种工具和技术。 项目中使用的主要平台是 **Wazuh**。它负责从不同系统收集日志、分析安全事件，并在检测到可疑活动时生成警报。 该项目还使用了 **Sysmon**，这是一个强大的系统监控工具，用于记录有关系统活动的详细信息。Sysmon 捕获诸如进程创建、网络连接和文件修改等事件。 用于攻击模拟和渗透测试的是 **Kali Linux**。Kali Linux 提供了各种工具，可以在受控环境中模拟网络攻击。 系统中检测到的安全事件使用 **MITRE ATT&CK** 进行分类，它提供了一个用于理解攻击者技术的标准化框架。 虚拟化软件（如 VMware 或 VirtualBox）用于创建测试环境，使多台机器能够相互交互。 # 5. 系统架构 该项目的架构由三个主要组件组成：监控服务器、端点系统和攻击模拟环境。 监控服务器托管 Wazuh manager 和 dashboard。它充当中央系统，负责从端点机器收集和分析安全日志。 端点系统是被监控的机器。这些系统安装了 Wazuh agent，用于收集日志并将其发送到监控服务器。 Windows 端点机器还配备了 Sysmon，以生成详细的系统活动日志。这些日志有助于识别可能表明恶意活动的可疑行为。 攻击模拟环境代表试图入侵受监控机器的攻击者系统。该系统生成监控系统可以检测到的可疑活动。 所有这些组件相互通信，形成一个类似于企业组织中使用的集中式安全监控环境。 # 6. 监控服务器的部署 监控服务器是系统最重要的组件。它托管 Wazuh manager，该管理器接收来自所有连接的端点机器的日志。 在项目实施期间，监控服务器部署在基于 Linux 的系统上。安装完成后，Wazuh manager 开始监听来自端点 agent 的传入日志数据。 该服务器还托管 Wazuh dashboard，它提供了一个用于监控安全事件的图形界面。安全分析师可以使用该仪表板查看警报、分析日志并调查潜在的安全事件。 监控服务器成功配置后，端点 agent 连接到它，以便收集和分析系统日志。 # 7. 端点 Agent 部署 端点 agent 安装在需要监控的机器上。这些 agent 充当日志收集器，从操作系统收集信息并将其发送到中央监控服务器。 在本项目中，使用 Windows 系统作为主要端点机器。安装 Wazuh agent 后，将其配置为与监控服务器通信。 agent 成功连接后，端点系统开始向监控服务器发送日志。这些日志包括系统事件、身份验证日志和与安全相关的活动。 监控仪表板将端点系统显示为活动 agent，确认端点与监控服务器之间的通信正常运行。 # 8. 使用 Sysmon 进行系统监控 Sysmon 安装在 Windows 端点系统上，以提供对系统活动的详细监控。 Sysmon 能够记录各种类型的系统事件，包括进程创建、网络连接、文件创建和注册表更改。这些事件为检测恶意活动提供了有价值的信息。 Sysmon 生成的日志被转发到 Wazuh agent，以便监控服务器对其进行分析。 通过分析 Sysmon 日志，监控系统能够检测到可疑行为，例如异常的进程执行或连接到可疑的网络端口。 # 9. 文件完整性监控 实施文件完整性监控是为了检测对重要系统文件的未授权更改。 此功能持续监控所选目录和文件的任何修改。如果文件被更改、删除或替换，系统会生成警报。 文件完整性监控非常重要，因为攻击者在获得机器访问权限后通常会尝试修改系统文件。检测这些修改可以帮助安全团队识别潜在的入侵。 在项目实施期间，关键系统目录被配置为受监控状态，以便立即检测并报告任何更改。 # 10. 检测与警报机制 监控系统使用基于规则的检测引擎分析传入的日志。每个规则都旨在识别特定类型的可疑活动。 例如，重复的登录失败可能表明暴力破解攻击尝试，而异常的进程执行可能表明恶意软件活动。 当触发规则时，系统会生成安全警报。这些警报显示在监控仪表板中，允许安全分析师调查该事件。 警报根据严重程度级别进行分类，以便可以优先处理并快速解决关键威胁。 # 11. 主动响应机制 除了检测威胁外，该系统还能够自动响应某些安全事件。 主动响应机制允许监控系统在检测到可疑活动时立即采取行动。例如，如果攻击者反复尝试登录系统，监控平台可以自动阻止攻击者的 IP 地址。 这种自动响应能力有助于防止攻击者继续其活动，并减少缓解威胁所需的时间。 通过将检测与自动响应相结合，该系统在保护端点系统方面变得更加有效。 # 12. 攻击模拟 为了测试监控系统的有效性，在受控环境中进行了攻击模拟。 运行 Kali Linux 的攻击者机器被用来模拟恶意活动，例如重复的登录尝试。这些操作生成了监控系统捕获的可疑事件。 监控平台成功检测到这些事件并在仪表板中生成了警报。这证实了检测规则运行正常。 攻击模拟是验证安全监控系统有效性的重要步骤。 # 13. 结果与观察 实施的监控系统成功检测到了多种类型的可疑活动。 该系统能够检测到可能表明暴力破解攻击的重复登录失败。它还检测到了未授权的文件修改和可疑的系统进程。 所有检测到的事件都实时显示在监控仪表板中。安全分析师可以查看有关每个事件的详细信息并调查潜在威胁。 与 MITRE ATT&CK 框架的集成提供了对攻击者技术和行为的额外洞察。 总体而言，该项目演示了集中式安全监控系统如何有效地检测和分析网络威胁。 # 14. 系统的优势 实施的系统为网络安全监控提供了多项优势。 一个主要优势是集中式监控。安全分析师可以从单个仪表板监控多台机器。 另一个优势是实时检测可疑活动。系统持续分析日志，并在检测到可疑行为时生成警报。 文件完整性监控提供了针对未授权系统修改的保护，而自动响应机制有助于防止攻击者继续其攻击。 与 MITRE ATT&CK 框架的集成还通过为检测到的安全事件提供背景信息来改进威胁情报。 # 15. 结论 本次实习项目成功演示了企业级端点检测和威胁监控系统的实施。 该项目实施了一个集中式安全监控平台，能够从端点机器收集日志、分析系统事件、检测可疑活动并生成警报。 Sysmon 的集成提高了对系统级事件的可见性，从而允许检测潜在的恶意进程和网络活动。 文件完整性监控有助于识别对关键系统文件的未授权更改，而主动响应机制有助于缓解安全威胁。 该项目在实施现代网络安全监控解决方案方面提供了宝贵的实践经验，并演示了安全运营中心如何检测和响应网络威胁。 从这次实习中获得的知识对于未来在网络安全、安全监控和威胁分析方面的工作将非常有价值。 # 致谢 我要向我的实习组织和导师表达最诚挚的感谢，感谢他们提供机会参与这个网络安全项目。他们的指导和支持帮助我获得了关于安全监控系统和现实世界网络防御策略的实践知识。 这次实习经历显著提升了我对现代网络安全技术和安全运营中心工作流程的理解。

标签：Cloudflare, Conpot, DAST, EDR, HTTP工具, IP 地址批量处理, MITRE ATT&CK, OISF, Sysmon, Wazuh, Windows安全, x64dbg, 企业安全, 安全运营中心, 实习项目, 开源自安全, 恶意软件分析, 日志管理, 端点检测与响应, 系统监视, 红队行动, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 脆弱性评估, 脱壳工具, 隐私保护