vanajaasmath2/SOC-PowerShell-Threat-Hunting

# 🔎 可疑 PowerShell 执行调查 ## 📌 项目概述 本项目旨在使用 Windows Event Logs（Windows 事件日志）和 Splunk 检测、分析和调查可疑的 PowerShell 执行活动。该调查模拟了 SOC（安全运营中心）分析师的工作流，用于识别常用于无文件攻击和恶意软件执行的潜在恶意 PowerShell 命令。 # 🎯 目标 - 使用 Windows Event Logs（Windows 事件日志）监控 PowerShell 活动 - 检测可疑的 PowerShell 执行模式 - 分析编码和混淆的命令 - 解码 Base64 PowerShell 载荷 - 识别威胁指标 (IOC) - 将发现映射到 MITRE ATT&CK 技术 # 🛠️ 所用工具 - Splunk - Splunk Universal Forwarder - Windows Event Viewer（Windows 事件查看器） - PowerShell - CyberChef - MITRE ATT&CK Framework（MITRE ATT&CK 框架） # 🧪 调查场景 一台 Windows 端点生成了与异常 PowerShell 执行相关的警报。目标是调查该活动是否表明存在恶意行为，例如： - 编码的 PowerShell 命令 - 隐藏执行 - 远程载荷下载 - 无文件恶意软件技术 # 📂 数据收集 ## Windows Event Logs（Windows 事件日志） 已启用： - Event ID 4688 – Process Creation（进程创建） ## 日志配置 使用组策略启用命令行日志记录： 计算机配置 → 管理模板 → 系统 → 审核进程创建 # 🔍 Splunk 检测查询 ## 检测 PowerShell 执行 ``` index=* EventCode=4688 powershell ```

标签：AI合规, Base64解码, Cloudflare, DAST, DNS 反向解析, L1级安全运营, MITRE ATT&CK, OpenCanary, PowerShell监控, SOC分析, Windows事件日志, 可疑执行检测, 安全运营中心, 库, 应急响应, 恶意软件分析, 文件攻击检测, 无文件恶意软件, 混淆代码分析, 漏洞指标(IOC), 端点安全, 网络安全, 网络映射, 补丁管理, 隐私保护