Maunton/windows-ir-lab

# Windows IR Lab 一个面向家庭爱好者、学生以及 aspiring SOC / DFIR 分析师的 Windows 事件响应与检测实验室。 该项目收集 Windows 安全日志、PowerShell、Sysmon 以及端点上下文信息，并将这些数据转化为： - 完整的 **分析师报告** - 简洁的 **利益相关者摘要** - **ATT&CK 标记的检测视图** - 整洁、可移植的 **HTML 报告包** 它专为那些希望在个人实验室环境中练习 Windows 遥测分析（而无需完整企业 SIEM）的人群设计。 ## 为什么这个项目很重要 本仓库展示了在以下方面的实践经验： - Windows 事件日志收集与分类 - PowerShell 与 Sysmon 遥测分析 - 检测工程与误报调优 - 面向分析师检测的 ATT&CK 映射 - 面向技术与非技术受众的报告生成 - 以家庭实验室为核心的安全工程 ## 它能做什么 报告器收集并关联以下数据： - **Windows 安全日志**（进程创建及相关事件） - **PowerShell 日志**（包括脚本块日志） - **Sysmon 日志**（进程、文件、注册表、DNS、网络及扩展遥测） - **主机上下文**（如操作系统版本、防病毒状态、持久化清单与服务状态） 然后生成： - `windows_ir_analyst_report.html` - `windows_ir_analyst_report.md` - `windows_ir_stakeholder_summary.html` - 用于后续分类的原始 JSON 输出 ## 当前功能 - 完整分析师与利益相关者报告的分离 - 带有导航、筛选和打印/导出样式的 HTML 报告 - 带严重级别与分类操作的名命检测 - 面向分析师检测的 ATT&CK 技术标签 - 浏览器 / Bitdefender 误报调优 - PowerShell / Sysmon 噪声抑制 - 持久化清单检查 - 案例流程摘要与证据指导 ## 示例输出 - [实时示例输出页面](https://maunton.github.io/windows-ir-lab/) - [示例分析师报告](https://maunton.github.io/windows-ir-lab/sample_analyst_report.html) - [示例利益相关者摘要](https://maunton.github.io/windows-ir-lab/sample_stakeholder_summary.html) ## 项目状态 该项目处于 **验证与调优** 阶段。 它足够稳定，可用于： - 家庭实验室测试 - 检测演示 - GitHub 作品集展示 - 向雇主解释检测逻辑 它并非旨在取代企业级 IR 工具。 ## 仓库结构 ``` windows-ir-lab/ ├── .github/ │ └── workflows/ │ └── python-syntax-check.yml ├── config/ │ └── sysmon-balanced.xml ├── docs/ │ ├── GITHUB_PREVIEW.md │ ├── HOME_LAB_SETUP.md │ ├── PROJECT_ROADMAP.md │ ├── TESTING_MATRIX.md │ ├── index.html │ ├── sample_analyst_report.html │ └── sample_stakeholder_summary.html ├── examples/ │ └── README.md ├── scripts/ │ └── windows_ir_reporter.py ├── .gitignore ├── requirements.txt └── README.md ``` ## 快速开始 ### 1. 启用 Windows 日志 推荐设置： * 安全进程创建审计 * PowerShell 脚本块日志 * 使用 `config/sysmon-balanced.xml` 的 Sysmon 配置 ### 2. 运行报告器 在 PowerShell 中执行： ``` python .\scripts\windows_ir_reporter.py --days 2 --max-events 800 --outdir .\reports ``` ### 3. 查看输出 打开： * `windows_ir_analyst_report.html` * `windows_ir_stakeholder_summary.html` ## 建议的测试命令 这些是安全的家庭实验室验证操作，有助于检验报告器： ``` notepad.exe Start-Process cmd.exe -ArgumentList '/c echo test-from-cmd > "$env:USERPROFILE\Desktop\ir_test_cmd.txt"' Invoke-WebRequest -Uri "https://example.com" -OutFile "$env:USERPROFILE\Desktop\example_test.html" reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v IRTestRun /t REG_SZ /d "notepad.exe" /f schtasks /create /sc once /tn IRTestTask /tr "notepad.exe" /st 23:59 /f ``` ## 最佳运行范围 根据目前的调优情况： * **1–2 天** = 最适合清晰的事件叙事 * **3 天** = 上下文与噪声之间的良好平衡 * **7 天** = 适用于更广泛的狩猎，但受限于日志容量可能偏向近期活动 ## 检测覆盖范围 当前检测逻辑涵盖： * PowerShell 到命令 Shell * PowerShell Web 请求 * ATT&CK 标记的执行与传输行为 * 与持久化相关的检查 * 浏览器 / Bitdefender 辅助误报调优 * 用于区分可能良性行为与更高风险行为的进程访问分类 ## 已知限制 * 最佳结果通常在 **1–3 天** 的回顾窗口内 * 更长的时间窗口可能在达到事件上限后偏向于近期高流量日志 * 专为 **Windows 原生执行** 设计 * 不能替代企业级 SIEM 或 EDR 工具 ## 适用人群 * 家庭实验室安全爱好者 * SOC / DFIR 学习者 * 初级检测工程师 * 构建实用网络安全 GitHub 作品集的候选人 ## 简历价值 本仓库对雇主具有较强吸引力，因为它展示了： - 你能够构建并迭代一个可用的安全工具 - 你理解遥测、误报与分析流程 - 你能向不同受众清晰地呈现技术输出 - 你能将检测与 ATT&CK 关联，而不仅仅是原始日志 ## 备注 * 本项目专注于 Windows。 * Python 依赖目前仅使用标准库。 * 该脚本应在受控的家庭实验室或个人测试环境中运行。

标签：AI合规, CIDR扫描, DNS 解析, FTP漏洞扫描, HTML报告, HTTP工具, IPv6, IP 地址批量处理, PowerShell, Sysmon, Windows事件日志, 子域名变形, 安全报告, 安全编排, 家实验室, 恶意行为检测, 持久化检测, 无线安全, 日志关联, 日志可视化, 日志收集, 流量嗅探, 端点安全, 网络安全, 网络安全审计, 补丁管理, 逆向工具, 遥测分析, 隐私保护