f3nr1rs3c/Sysmon_IR_Configuration

# 🛡️ Sysmon IR 配置（低噪声，高信号） 本仓库包含针对 **Incident Response (IR)** 和 **威胁检测** 进行优化的 Sysmon 配置。 目标： * 🔍 使攻击者行为可见 * ⚡ 将噪声保持在最低水平 * 🎯 专注于真实世界的攻击技术 # 📌 特性 ## ✅ Process 监控 检测可疑进程： * PowerShell, CMD, rundll32, mshta * 脚本引擎（wscript, cscript） * LOLBins（Living-off-the-land 二进制文件） 此外还能捕获： * 编码命令（`-enc`） * `Invoke-Expression`, `DownloadString`, `IEX` ## 🌐 Network 监控 记录以下进程的外部连接： * PowerShell * CMD * rundll32 * mshta ➡️ 可检测内容： * Reverse shell * C2 (Command & Control) 流量 ## 📂 文件创建监控 专注于高风险目录： * `AppData` * `Temp` 监控的文件： * `.exe` * `.dll` ➡️ 用途： * Dropper 检测 * Malware 分阶段投放 ## 🔑 Registry 持久化检测 监控以下键值： * `Run` * `RunOnce` * `Policies` * `Winlogon` ➡️ 检测： * 持久化 * 后门 ## 🧠 Process 注入检测 捕获可疑的访问权限： * `0x1F` * `0x1FFFFF` ➡️ 检测： * Credential dumping * Process 注入技术 ## 🚗 Driver 加载监控 记录所有驱动程序加载： ➡️ 用途： * Rootkit * 内核级攻击 ## 📦 DLL 监控（Image Load） 记录所有 DLL 加载。 ⚠️ 注意： 此特性： * 提供非常强大的可见性 * 但会产生高噪声 ➡️ 建议根据环境进行优化 # ⚙️ 安装 ## 1. 下载 Sysmon 从 Microsoft Sysinternals 下载。 ## 2. 应用配置 如果未安装 Sysmon： ``` .\sysmon64.exe -i config.xml ``` 如果已安装： ``` .\sysmon64.exe -c config.xml ``` # 📊 日志位置 事件查看器路径： ``` Uygulama ve Hizmet Günlükleri → Microsoft → Windows → Sysmon → Operational ``` # 🎯 检测场景 使用此配置，你可以检测： * 🧨 PowerShell 攻击 * 🎭 LOLBins 使用 * 🔁 持久化机制 * 🌐 C2 流量 * 🧬 Process 注入 * 📦 Malware dropper # ⚠️ 重要说明 * 此配置： * 专注于检测 * 不适用于最小日志记录 * 根据环境： * 应添加白名单 * 应减少噪声 * 在产生大量日志的环境中： * 建议进行 SIEM 集成 # 🚀 建议改进 为了更专业的使用： * SIEM 集成（Wazuh, Elastic, Splunk） * 威胁情报集成 * 编写告警/检测规则 # 📄 许可证 MIT License # ⭐ 如果有帮助 请给项目点个 ⭐ 以示支持。

标签：AMSI绕过, Cloudflare, Conpot, DAST, EDR, GitHub Advanced Security, LOLBins检测, MITRE ATT&CK, PB级数据处理, SSH蜜罐, Sysmon配置, Windows安全, 低噪音, 威胁检测, 安全加固, 安全运维, 恶意软件分析, 持久化检测, 红队对抗, 网络信息收集, 网络安全, 网络安全审计, 脆弱性评估, 进程注入, 隐私保护, 高保真