prathamkumartamboli/SOC-05-Custom-Log-Based-Detection-Engineering-in-Elastic-SIEM-Sysmon-Based-
GitHub: prathamkumartamboli/SOC-05-Custom-Log-Based-Detection-Engineering-in-Elastic-SIEM-Sysmon-Based-
一个基于 Elastic SIEM、Sysmon 与 Winlogbeat 的日志检测工程实践,旨在演示如何检测 Windows 平台的侦察行为并完成 SOC 风格分析。
Stars: 0 | Forks: 0
# SOC-05 — 基于 Elastic SIEM(Sysmon 驱动)的自定义日志检测工程
## 📌 项目概述
本项目演示了在真实安全运营中心(SOC)实验环境中,使用 **Elastic SIEM**、**Sysmon** 和 **Winlogbeat** 进行 **基于日志的检测工程(Custom Log-Based Detection Engineering)**。
与以往聚焦特定攻击技术的实验不同,本项目专注于 **基于行为的检测工程**。目标是检测攻击者使用内置 Windows 工具执行的 **可疑侦察活动**。
攻击者常使用以下 **Living-Off-The-Land Binaries(LOLBins)**:
- cmd.exe
- powershell.exe
- net.exe
- whoami.exe
- systeminfo.exe
本项目演示 SOC 分析人员如何通过 **Elastic SIEM 中的自定义检测规则** 检测可疑的命令执行。
## 🎯 项目目标
- 模拟攻击者侦察活动
- 使用 Sysmon 收集端点遥测数据
- 使用 Winlogbeat 转发日志
- 分析可疑进程执行
- 创建高级自定义检测规则
- 降低误报
- 在 Elastic Security 中调查告警
- 执行 SOC 风格的事件分析
## 🏗️ 实验架构
| 机器 | 角色 |
|------|------|
| Kali Linux | 攻击机 |
| Windows 10 | 受害者端点 |
| Windows 11 | Elastic SIEM 主机 |
## ⚔️ 攻击模拟
- 可疑可执行文件被执行
- 命令解释器被触发
- 执行 whoami 命令
- 执行 systeminfo
- 执行 ipconfig
- 执行 net user
## 🔍 日志配置
| 事件 ID | 描述 |
|---------|------|
| 事件 ID 1 | 进程创建 |
| 事件 ID 3 | 网络连接 |
## ⚙️ 检测规则
```
event.code:1 AND
(
process.name:(net.exe OR whoami.exe OR systeminfo.exe OR ipconfig.exe OR cmd.exe OR powershell.exe)
OR
process.command_line:(*whoami* OR *systeminfo* OR *ipconfig* OR *net user* OR *dir* OR *tasklist*)
)
```
## 📊 潜在指标(IOCs)
| 指标 | 值 |
|------|------|
| 可疑进程 | svchost.exe |
| 父进程 | cmd.exe |
| 命令 | whoami, systeminfo |
| 用户 | Pratham |
## 🛡️ MITRE ATT&CK 映射
| 战术 | 技巧 | ID |
|------|------|----|
| 侦察 | 系统信息发现 | T1082 |
| 侦察 | 账户发现 | T1087 |
| 侦察 | 文件与目录发现 | T1083 |
| 侦察 | 网络发现 | T1016 |
| 执行 | 命令解释器 | T1059 |
## 📈 展示技能
- 检测工程
- Elastic SIEM
- 威胁狩猎
- Sysmon 日志分析
- 自定义检测规则
## 👨💻 作者
**Pratham Tamboli**
网络安全 | SOC 分析员 | 检测工程
#CyberSecurity #SOC #SIEM #Elastic #DetectionEngineering
标签:Elastic SIEM, Living-Off-The-Land Binaries, LOLBins, Sysmon, Windows端点, Winlogbeat, 侦察活动, 告警分析, 安全运营, 扫描框架, 日志检测, 日志采集, 终端取证, 网络命令, 自定义规则, 行为检测, 进程执行