Maytham-Salihi/windows-security-investigations

# Windows 安全调查 本仓库包含了一系列 Windows 安全事件日志调查，这些调查是作为我网络安全培训和 SOC 分析师发展的一部分而进行的。 所有调查均基于**直接从实时 Windows 系统上的 Windows 事件查看器中收集的真实证据**。 ## 每次调查包含的内容 - 事件详情和上下文 - MITRE ATT&CK 映射（在适用的情况下） - 检测逻辑（KQL 样式的示例） - 威胁狩猎问题 - 截图 - 最终结论和风险评级 # 🔍 已完成的调查 ### ✅ 事件 4624 – 成功登录 [查看调查](event-4624-successful-logon/report.md) ### ✅ 事件 4625 – 登录尝试失败 [查看调查](event-4625-failed-logon/report.md) ### ✅ 事件 4672 – 分配特殊权限 [查看调查](event-4672-special-privileges-assigned/report.md) ### ✅ 事件 4720 – 创建用户账户 （已尝试 —— 未找到账户创建事件） [查看调查](event-4720-user-account-created/report.md) ### ✅ 事件 4726 – 删除用户账户 （已尝试 —— 未找到账户删除事件） [查看调查](event-4726-user-account-deleted/report.md) ### ✅ 事件 4769 – Kerberos 服务票据请求 （已尝试 —— 由于是 WORKGROUP 系统，没有 Kerberos 事件） [查看调查](event-4769-kerberos-service-ticket-request/report.md) ### ✅ 事件 4771 – Kerberos 预身份验证失败 （已尝试 —— 由于是 WORKGROUP 系统，没有 Kerberos 事件） [查看调查](event-4771-kerberos-pre-auth-failure/report.md) ### ✅ 事件 4776 – NTLM 身份验证 [查看调查](event-4776-ntlm-authentication/report.md) ### ✅ 事件 7045 – 新服务已安装 （已尝试 —— 未找到服务安装事件） [查看调查](event-7045-new-service-installed/report.md) # 🛠️ 使用的工具 - **Windows 事件查看器**（使用的主要且唯一的工具） # 📌 本仓库的目的 本项目展示了： - 真实的 SOC 调查工作流 - 分析 Windows 安全事件的能力 - 专业的文档编写技能 - 对身份验证、账户管理和系统活动日志的理解 - 为招聘人员和招聘经理清晰呈现调查结果的能力 # 📈 未来的改进 随着实验室环境的扩展，我计划添加： - 基于 Sysmon 的调查 - 基于 SIEM 的检测逻辑（Splunk / ELK） - 更多 Windows 安全事件 # 📬 联系方式 如需合作或反馈，欢迎与我联系。

标签：Cloudflare, Conpot, Kerberos认证, KQL查询, MITRE ATT&CK, NTLM认证, PFX证书, SOC分析, Windows事件查看器, Windows安全, 协议分析, 安全事件日志, 安全研究报告, 安全运营中心, 攻击检测, 数字取证, 权限提升, 检测逻辑, 模拟器, 登录审计, 网络安全, 网络映射, 自动化脚本, 账户管理, 防御加固, 隐私保护