prathamkumartamboli/SOC-05-Custom-Log-Based-Detection-Engineering-in-Elastic-SIEM-Sysmon-Based-

# SOC-05 — 基于 Elastic SIEM（Sysmon 驱动）的自定义日志检测工程 ## 📌 项目概述 本项目演示了在真实安全运营中心（SOC）实验环境中，使用 **Elastic SIEM**、**Sysmon** 和 **Winlogbeat** 进行 **基于日志的检测工程（Custom Log-Based Detection Engineering）**。 与以往聚焦特定攻击技术的实验不同，本项目专注于 **基于行为的检测工程**。目标是检测攻击者使用内置 Windows 工具执行的 **可疑侦察活动**。 攻击者常使用以下 **Living-Off-The-Land Binaries（LOLBins）**： - cmd.exe - powershell.exe - net.exe - whoami.exe - systeminfo.exe 本项目演示 SOC 分析人员如何通过 **Elastic SIEM 中的自定义检测规则** 检测可疑的命令执行。 ## 🎯 项目目标 - 模拟攻击者侦察活动 - 使用 Sysmon 收集端点遥测数据 - 使用 Winlogbeat 转发日志 - 分析可疑进程执行 - 创建高级自定义检测规则 - 降低误报 - 在 Elastic Security 中调查告警 - 执行 SOC 风格的事件分析 ## 🏗️ 实验架构 | 机器 | 角色 | |------|------| | Kali Linux | 攻击机 | | Windows 10 | 受害者端点 | | Windows 11 | Elastic SIEM 主机 | ## ⚔️ 攻击模拟 - 可疑可执行文件被执行 - 命令解释器被触发 - 执行 whoami 命令 - 执行 systeminfo - 执行 ipconfig - 执行 net user ## 🔍 日志配置 | 事件 ID | 描述 | |---------|------| | 事件 ID 1 | 进程创建 | | 事件 ID 3 | 网络连接 | ## ⚙️ 检测规则 ``` event.code:1 AND ( process.name:(net.exe OR whoami.exe OR systeminfo.exe OR ipconfig.exe OR cmd.exe OR powershell.exe) OR process.command_line:(*whoami* OR *systeminfo* OR *ipconfig* OR *net user* OR *dir* OR *tasklist*) ) ``` ## 📊 潜在指标（IOCs） | 指标 | 值 | |------|------| | 可疑进程 | svchost.exe | | 父进程 | cmd.exe | | 命令 | whoami, systeminfo | | 用户 | Pratham | ## 🛡️ MITRE ATT&CK 映射 | 战术 | 技巧 | ID | |------|------|----| | 侦察 | 系统信息发现 | T1082 | | 侦察 | 账户发现 | T1087 | | 侦察 | 文件与目录发现 | T1083 | | 侦察 | 网络发现 | T1016 | | 执行 | 命令解释器 | T1059 | ## 📈 展示技能 - 检测工程 - Elastic SIEM - 威胁狩猎 - Sysmon 日志分析 - 自定义检测规则 ## 👨‍💻 作者 **Pratham Tamboli** 网络安全 | SOC 分析员 | 检测工程 #CyberSecurity #SOC #SIEM #Elastic #DetectionEngineering

标签：Elastic SIEM, Living-Off-The-Land Binaries, LOLBins, Sysmon, Windows端点, Winlogbeat, 侦察活动, 告警分析, 安全运营, 扫描框架, 日志检测, 日志采集, 终端取证, 网络命令, 自定义规则, 行为检测, 进程执行