abdilaaheomar-stack/powershell-threat-detection-lab

# 企业级 PowerShell 威胁检测实验 ## 概述 本仓库演示了聚焦于 Windows 环境中可疑 PowerShell 活动的企业级检测工程和事件响应工作流。 该实验的目的是模拟在真实入侵活动中观察到的常见 PowerShell 滥用技术，同时开发检测逻辑、遥测数据收集策略、SIEM 关联规则和事件响应程序。 本项目反映了以下人员通常执行的蓝队防御操作： - 安全运营中心 (SOC) 分析师 - 检测工程师 - 威胁猎人 - 事件响应人员 - 网络安全工程师 # 目标 - 模拟可疑的 PowerShell 执行模式 - 分析 PowerShell 遥测数据 - 创建 SIEM 检测查询 - 开发 Sigma 检测规则 - 配置 Sysmon 日志记录 - 实践事件响应工作流 - 改进威胁狩猎方法论 # 技术与工具 | 类别 | 工具 | |---|---| | SIEM | Splunk, Wazuh, Elastic | | 端点遥测 | Sysmon | | 网与分析 | Wireshark | | 脚本编程 | PowerShell, Python | | 检测工程 | Sigma | | 操作系统 | Windows 10/11, Kali Linux | | 安全框架 | MITRE ATT&CK, NIST 800-53 | # 威胁模拟场景 本实验侧重于检测通常与以下内容相关的行为： - 编码的 PowerShell 命令 - 混淆执行 - 隐藏的 PowerShell 窗口 - 可疑的父子进程 - 滥用执行策略绕过 - 潜在的 LOLBIN 技术 - 基于脚本的渗透后活动 # 检测工程 ## 检测领域示例 ### Splunk 检测逻辑 - EncodedCommand 检测 - PowerShell 执行策略绕过 - 可疑的 PowerShell 命令行参数 - 父子进程异常 ### Sigma 规则 - PowerShell 混淆 - 隐藏窗口执行 - 可疑的 PowerShell 派生 ### Sysmon 遥测 - Event ID 1 — 进程创建 - Event ID 7 — 镜像加载 - Event ID 11 — 文件创建 # MITRE ATT&CK 映射 | 技术 | ID | |---|---| | PowerShell | T1059.001 | | 命令和脚本解释器 | T1059 | | 混淆文件或信息 | T1027 | | 指标移除 | T1070 | # 事件响应工作流 1. 告警分诊 2. 遥测数据收集 3. 主机调查 4. 威胁遏制 5. 持久化分析 6. 根除 7. 恢复 8. 经验教训 # 未来改进 - 添加 Wazuh 检测规则 - 添加 PowerShell Operational Log 分析 - 构建自动化威胁关联脚本 - 开发自定义 Sigma 转换 - 集成威胁情报扩充 # 作者 Abdilaahe Omar 网络安全 | 威胁检测 | 网络安全 | 蓝队运营 | 自动化 | 合规工程

标签：AI合规, AMSI绕过, Cloudflare, Conpot, DNS 反向解析, Libemu, MITRE ATT&CK, OpenCanary, PowerShell安全, Python, Sigma规则, Sysmon, Wazuh, Windows安全, 企业安全, 威胁情报, 威胁检测, 子域名变形, 安全事件响应, 安全实验室, 安全脚本, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 攻击模拟, 无后门, 目标导入, 知识库安全, 网络安全, 网络安全工程师, 网络资产管理, 逆向工具, 遥测数据分析, 防御矩阵, 隐私保护, 驱动签名利用