faith-muendi/Threat-Hunting

# 威胁狩猎与事件调查实验室 ## 📌 项目概述 本项目演示了在 Windows Active Directory 环境中进行主动威胁狩猎和事件调查的过程。不依赖告警，而是通过手动日志分析识别可疑活动。 ## 🎯 目标 - 在没有 SIEM 告警的情况下识别恶意活动 - 分析 Windows 安全日志和 Sysmon 数据 - 调查攻击者在系统间的行为 ## 🛠️ 环境 - 域控制器：DC01 (corp.local) - Windows Server 2019 - 已安装 Sysmon - 使用 Event Viewer 进行日志分析 ## 🔍 威胁狩猎活动 ### 1. 失败登录分析 - 事件 ID：4625 - 识别出重复的登录失败尝试 - 检测到潜在的暴力破解攻击 ### 2. 成功登录关联 - 事件 ID：4624 - 登录类型：3 - 识别出多次失败后的成功登录 ### 3. 进程调查 - Sysmon 事件 ID：1 - 观察到以下执行行为： - cmd.exe - whoami.exe - ipconfig.exe ### 4. 网络活动分析 - Sysmon 事件 ID：3 - 检测到内部网络探测活动 ## 🧠 关键发现 - 存在基于凭据攻击的证据 - 观察到入侵后的侦察行为 - 存在横向移动行为的迹象 ## 📊 展示的技能 - 威胁狩猎 - 日志分析 (Windows + Sysmon) - 事件调查 - 安全分析 - 理解 MITRE ATT&CK ## ✅ 结论 本实验室演示了在不依赖自动化告警的情况下，主动识别和调查安全事件的能力，模拟了现实世界中 SOC 分析师的职责。

标签：BurpSuite集成, PE 加载器, PoC, Sysmon, Terraform 安全, Windows Active Directory, Windows Security Logs, Windows Server 2019, 事件调查, 凭证转储, 后渗透, 安全实验室, 安全运营中心, 库, 应急响应, 插件系统, 攻击链分析, 数字取证, 暴力破解, 横向移动, 私有化部署, 红队行动, 编程规范, 网络映射, 自动化脚本, 防御规避