so1iman/windows-endpoint-threat-hunting-lab

# Windows 终端威胁狩猎实验室    一个使用 Windows 事件日志、Sysmon 风格遥测和 SIEM 查询的实用终端威胁狩猎实验室。 ## 包含的狩猎 | 狩猎 | 数据源 | ATT&CK | |---|---|---| | 奇疑 PowerShell | 4688, 4104, Sysmon 事件 ID 1 | T1059.001 | | 凭据泄露 | Sysmon 事件 ID 10, 安全日志 | T1003.001 | | 通过运行键持久化 | Sysmon 事件 ID 12/13/14 | T1060 | | 定时任务创建 | 事件 ID 4698/4702 | T1053.005 | | LOLBin 滥用 | 进程创建遥测 | T1218 | ## 实验室假设 - 事件是合成的，旨在用于检测逻辑演示。 - 查询是示例，应在生产使用前进行调整。 - 目标是展示狩猎方法，而不是提供绕过或利用指南。 ## 免责声明 此存储库仅用于防御性安全教育和成果展示。所有日志、指标、规则和示例都是合成的、清洗过的或公开可用的。不包括任何专有雇主数据、客户数据、凭据、私有遥测或活恶意软件。

标签：AMSI绕过, asyncio, ATT&CK 框架, OpenCanary, Sysmon, T1003, T1053, T1059, T1060, T1218, Windows 事件日志, 威胁检测, 子域枚举, 安全事件响应, 安全实验室, 安全教育, 知识库安全, 终端安全