GauravSandeep/sysmon-endpoint-monitoring

# Sysmon 端点安全监控 ## 概述 本项目演示了在Windows系统上使用Sysmon进行端点监控与威胁检测。项目专注于分析端点遥测数据、进程活动和网络连接，以支持安全调查。 ## 目标 - 监控端点活动 - 检测可疑进程 - 分析网络连接 - 调查PowerShell活动 - 提升端点可视性 ## 使用的工具 - Sysmon - Windows事件查看器 - PowerShell - 命令提示符 - Windows操作系统 ## 监控的关键事件ID | 事件ID | 描述 | |---|---| | 1 | 进程创建 | | 3 | 网络连接 | | 5 | 进程终止 | ## 执行的活动 - 安装并配置Sysmon - 监控端点遥测数据 - 调查进程创建事件 - 生成网络活动 - 分析PowerShell执行 - 收集端点日志 ## 截图 ### 进程创建事件  ### PowerShell活动  ### 网络连接事件  ## 学到的技能 - 端点监控 - Windows事件分析 - 威胁检测 - 进程调查 - 安全日志分析 - SOC工作流程基础 ## MITRE ATT&CK 映射 | 技术 | 描述 | |---|---| | T1059 | 命令和脚本解释器 | | T1049 | 系统网络连接发现 | | T1105 | 入站工具传输 | ## 未来改进 - 与Splunk集成 - 创建自动化警报 - 添加Sigma检测规则 - 将日志转发到SIEM平台

标签：AI合规, AMSI绕过, Conpot, Mr. Robot, PowerShell监控, SOC分析, Sysmon, Windows事件日志, Windows安全, Windows遥测, 事件ID监控, 事件日志分析, 威胁检测, 安全调查, 安全运营, 扫描框架, 端点安全, 端点遥测, 网络信息收集, 网络连接分析, 补丁管理