hamadaabushadi404/windows-event-log-investigation

# Windows 事件日志调查 **作者：** Mohamed Abushadi **目标角色：** 初级 SOC 分析师 / 蓝队 **项目类型：** Windows 安全事件日志 + Sysmon 调查 **状态：** 完整的作品集就绪实验室项目 ## 1. 执行摘要 本项目展示了使用 **Windows 安全日志**、**Sysmon 风格的遥测数据** 和基本的 SOC 分析方法进行结构化 Windows 日志调查的过程。 调查聚焦于一个模拟的端点入侵事件，其中观察到可疑的 PowerShell 活动、网络连接尝试、Defender 篡改行为、本地账户创建以及本地管理员组修改。 此仓库设计为面向入门级 SOC 职位的实际蓝队作品集项目。它包含： - 调查场景 - Windows/Sysmon 示例事件日志 - 检测逻辑 - 时间线 - IOC - MITRE ATT&CK 映射 - Sigma 规则 - 用于日志摘要的 Python 辅助脚本 - 模拟证据截图 ## 2. 场景 一台名为 **WIN-HR-07** 的 Windows 工作站在短时间内产生了多个安全事件。 SOC 团队注意到： - 可疑的 PowerShell 执行 - 向异常外部 IP 的出站连接 - Windows Defender 配置篡改 - 在用户配置文件下创建了可疑文件 - 创建了新的本地用户 - 将该用户添加到本地管理员组 调查的目标是确定活动是否可疑，识别受影响的主机，构建时间线，提取指标，并将行为映射到 MITRE ATT&CK。 ## 3. 关键发现 调查在主机 **WIN-HR-07** 上发现了多项可疑活动： 1. PowerShell 使用了可疑参数执行。 2. PowerShell 尝试向外部 IP 建立网络连接。 3. Defender 相关设置被修改。 4. 在用户配置文件下创建了可疑文件。 5. 创建了一个新的本地账户。 6. 新账户被添加到了本地管理员组。 基于这些发现，该事件被归类为： **严重性：** 高 **判定结果：** 可疑 / 很可能已入侵 **主要受影响主机：** WIN-HR-07 **主要用户上下文：** HRUser ## 4. 使用的工具 - Windows 事件查看器 - Sysmon 风格事件分析 - Python 3 - Sigma 规则格式 - MITRE ATT&CK 框架 - 手动 SOC 调查方法 ## 5. 仓库结构 ``` windows-event-log-investigation/ ├── README.md ├── LICENSE ├── .gitignore ├── data/ │ └── sample-windows-events.csv ├── docs/ │ ├── investigation-report.md │ ├── attack-timeline.md │ ├── iocs.md │ ├── mitre-attack-mapping.md │ ├── event-id-cheatsheet.md │ ├── detection-logic.md │ └── lessons-learned.md ├── sigma/ │ ├── suspicious_powershell_execution.yml │ ├── defender_tampering_behavior.yml │ ├── new_local_admin_user.yml │ └── suspicious_network_connection_from_powershell.yml ├── scripts/ │ └── parse_events.py └── screenshots/ ├── README.md ├── event_viewer_summary.svg └── sysmon_process_event.svg ``` ## 6. 审查的主要事件 ID | 事件 ID | 来源 | 含义 | |---|---|---| | 4624 | Windows 安全 | 成功登录 | | 4625 | Windows 安全 | 登录尝试失败 | | 4688 | Windows 安全 | 进程创建 | | 4720 | Windows 安全 | 用户账户创建 | | 4732 | Windows 安全 | 用户添加到本地组 | | 7045 | 系统 | 服务已安装 | | 1 | Sysmon | 进程创建 | | 3 | Sysmon | 网络连接 | | 11 | Sysmon | 文件已创建 | | 13 | Sysmon | 注册表值已设置 | ## 7. MITRE ATT&CK 摘要 | 战术 | 技术 | |---|---| | 执行 | T1059.001 - PowerShell | | 防御规避 | T1562.001 - 削弱防御 | | 持久化 | T1136.001 - 本地账户 | | 权限提升 | T1098 - 账户操作 | | 命令与控制 | T1071 - 应用层协议 | 完整映射可在 [`docs/mitre-attack-mapping.md`](docs/mitre-attack-mapping.md) 中找到。 ## 8. 如何运行 Python 日志摘要脚本 从项目根目录开始： ``` python scripts/parse_events.py ``` 预期输出： ``` Windows Event Log Investigation Summary ... Top Event IDs: ... Suspicious Events: ... ``` 脚本读取： ``` data/sample-windows-events.csv ``` 并打印调查数据的简单摘要。 ## 9. 调查方法论 调查遵循了以下 SOC 工作流程： 1. 识别可疑事件模式。 2. 确认受影响的主机和用户。 3. 构建按时间顺序排列的时间线。 4. 提取 IOC。 5. 将观察到的行为映射到 MITRE ATT&CK。 6. 编写检测逻辑。 7. 记录结论和建议操作。 ## 10. 建议的响应操作 建议的遏制和补救步骤： - 隔离受影响的工作站。 - 禁用可疑的本地账户。 - 重置受影响用户的凭据。 - 审查 PowerShell 执行历史记录。 - 审查 Defender 配置。 - 在其他端点上搜寻类似事件。 - 阻止可疑的外部指标。 - 如有需要，收集取证镜像。 - 改进针对可疑 PowerShell 和账户操作的检测。 ## 11. 面试要点 此项目展示了我使用 Windows 事件日志和 Sysmon 风格遥测数据执行结构化 SOC 调查的能力。我分析了可疑的 PowerShell 执行、网络活动、Defender 篡改和本地账户变更。我清晰记录了时间线、IOC、MITRE ATT&CK 映射、检测逻辑和响应建议，形成了一份完整的调查报告。 ## 12. 免责声明 此项目仅用于防御性安全培训和作品集展示。 所有日志、IOC 和截图均为模拟生成，不代表真实组织或真实事件。

标签：AMSI绕过, Cloudflare, Conpot, IOC提取, IP 地址批量处理, MITRE ATT&CK, OpenCanary, PowerShell安全, Sigma规则, Sysmon, Windows事件日志, Windows安全, 入门级SOC, 威胁检测, 安全事件分析, 安全运营中心, 投资组合项目, 数字取证, 时间线构建, 检测逻辑, 目标导入, 网络安全, 网络映射, 自动化脚本, 蓝队项目, 逆向工具, 隐私保护