amphib24/threat-hunting-windows-log-analysis

# Windows 威胁狩猎与日志分析     本仓库是一个利用 Windows 日志分析进行 SOC 级别威胁检测调查的集合。这些调查遵循 TryHackMe 的 SOC 1 Windows Threat Detection 房间的实验，旨在模拟真实的 SOC 工作流。调查分为三个主要类别：初始访问、入侵后活动和持久化机制。本仓库的目的是展示 SOC 分析师如何使用原生日志工具调查 Windows 主机上的威胁活动。 # 展示技能 - 使用事件查看器进行 Windows 安全日志分析 - 使用 Sysmon 进行端点分析，以检测进程创建和入侵后活动 - 时间线重建 - 攻击向量分析（RDP、钓鱼、USB） - 使用日志关联和基于时间的分析进行威胁狩猎 - 域名信誉分析 # 调查 ## 初始访问     初始访问是攻击者成功在系统或网络中建立其初始立足点的攻击阶段。攻击者可以利用多种技术来获取初始访问权限。这些报告侧重于三种特定技术：滥用暴露的服务（在本例中为 Windows 远程桌面协议 (RDP)）、利用钓鱼攻击执行，以及 USB 的恶意使用。 ### 技术报告 RDP 暴力破解报告 钓鱼攻击执行报告 USB 恶意软件执行 ## 入侵后活动 即将推出！ ## 持久化机制 即将推出！