mohaShire12/SYSMON-TELEMETRY-ANALYSIS-THREAT-HUNTING

# SYSMON 远程监控分析与威胁狩猎 ## 目标 本项目的目的是在 Windows 环境中部署 Sysmon，并收集详细的端点遥测数据以进行安全监控。项目重点在于生成和分析 Windows 事件日志，使用 Splunk SIEM 识别进程创建活动、网络连接和持久化机制。 通过这次练习，我在端点可见性、日志分析、威胁狩猎和安全事件调查方面获得了实践经验。 ## 学到的技能 * Windows 端点监控 * Sysmon 配置与部署 * 日志收集与标准化 * 威胁狩猎方法 * 安全事件调查 * 进程创建分析 * 网络连接监控 * Splunk 搜索处理语言 (SPL) * 事件文档与报告 ## 使用工具 * Windows 10 Pro * Sysmon * Splunk Enterprise * Active Directory 实验室 * VirtualBox * PowerShell * Windows 事件查看器 ## 实验环境 | 系统 | 角色 | | ------------------- | ----------------------------- | | Windows Server 2019 | 域控制器 | | Windows 10 Pro | 监控端点 | | Splunk 服务器 | SIEM 平台 | | Sysmon | 端点遥测数据收集 | # 调查步骤 ## 步骤 1 – Sysmon 安装 使用自定义配置文件在 Windows 端点安装了 Sysmon，以收集包括进程创建、网络连接、文件创建和注册表修改在内的详细遥测数据。 ## 步骤 2 – 验证 Sysmon 事件 验证了 Sysmon 操作事件日志，以确保遥测数据生成正确。 ## 步骤 3 – Splunk 日志导入 使用通用转发器将 Sysmon 日志转发到 Splunk 并成功索引。 ## 步骤 4 – 进程创建分析 分析了事件 ID 1，以监控端点上的进程执行活动。 ``` index=sysmon EventCode=1 ``` ## 步骤 5 – 网络连接监控 审查了事件 ID 3，以识别由进程发起的外出网络通信。 ``` index=sysmon EventCode=3 ``` ## 步骤 6 – 威胁狩猎活动 使用 Sysmon 遥测数据调查了可疑的命令行活动和进程行为。 ``` index=sysmon EventCode=13 ``` ## 发现 该项目展示了 Sysmon 在提供详细端点可见性方面的有效性。与标准 Windows 日志相比，进程创建事件、网络连接和命令行活动显著提高了威胁检测能力。 主要观察结果包括： * 详细的过程执行可见性。 * 改进的网络监控能力。 * 增强的威胁狩猎机会。 * 与 Splunk SIEM 的有效集成。 ## 结论 本项目成功地在安全运营中心 (SOC) 实验室环境中实施了 Sysmon 遥测数据的收集和分析。收集到的遥测数据实现了全面的端点监控，并为威胁检测、事件调查和主动威胁狩猎活动提供了宝贵的数据。

标签：Active Directory, AI合规, BurpSuite集成, IPv6, Plaso, PowerShell, RFI远程文件包含, Sysmon, Windows 安全, 事件查看器, 安全事件响应, 安全事件调查, 安全报告, 工具集, 日志收集, 日志规范化, 端点监控, 网络连接监控, 虚拟化, 过程创建分析