fikazi/SOC-Detection-Engineering-Lab-PowerShell-Encoded-Command-Detection

# SOC 检测工程实验室 – PowerShell 编码命令检测     ## 概述 本项目演示了一个端到端的 SOC 工作流程，专注于使用 Sysmon、Wazuh、OpenSearch 和 TheHive 检测可疑的 PowerShell 活动。实验室模拟了一个基于 MITRE ATT&CK T1059.001（PowerShell）的攻击场景，使用 Atomic Red Team。 本项目的目标是验证端点遥测数据如何被收集、分析、关联，并升级为可操作的安全警报，用于 SOC 运营和威胁狩猎活动。 # 实验环境 | 组件 | 描述 | |---|---| | Windows 10 虚拟机 | 目标端点 | | Sysmon | 端点遥测数据收集 | | Wazuh Agent | 日志转发 | | Wazuh Manager | SIEM & 检测引擎 | | OpenSearch Dashboard | 威胁狩猎 & 可视化 | | TheHive | 事件响应平台 | | Atomic Red Team | 攻击模拟框架 | # 架构  # 攻击模拟 攻击模拟使用 Atomic Red Team 进行，以下 MITRE ATT&CK 技术被使用： - 技术ID：T1059.001 - 技术名称：PowerShell 模拟生成了编码的 PowerShell 执行活动，旨在模仿在利用阶段观察到的可疑命令执行行为。 示例执行： ``` Invoke-AtomicTest T1059.001 ``` 生成的命令以编码参数执行 PowerShell，例如： ``` powershell.exe -e ``` 这种执行模式经常被攻击者滥用，以混淆恶意命令并绕过基本的检测机制。 ## 截图  # Sysmon 遥测数据收集 使用 Sysmon 事件 ID 1（进程创建）捕获 Windows 端点的进程执行遥测数据。 以下遥测字段被成功收集： - 进程映像 - 父进程 - 命令行参数 - 用户上下文 - 进程GUID - 完整性级别 观察到的示例进程： ``` powershell.exe -e ``` Sysmon 提供了详细的端点可见性，成为检测工作流程的主要遥测数据源。 ## 截图  # Wazuh 日志收集 Wazuh 代理将 Windows 端点的 Sysmon 遥测数据转发到 Wazuh Manager 进行集中分析。 收集的日志通过 Windows 事件通道解码器成功解析和标准化。 Wazuh 中观察到的关键遥测数据包括： - PowerShell 执行 - 编码的命令行参数 - 父子进程关系 - 用户执行上下文 # 自定义检测工程 创建了一个自定义 Wazuh 规则来检测编码的 PowerShell 执行活动。 检测逻辑： ``` 61603 (?i)(powershell.*-e|powershell.*-enc) Encoded PowerShell Command Detected T1059.001 powershell, attack.execution, sysmon ``` 该规则搜索包含编码命令参数的 PowerShell 执行，例如： - `-e` - `-enc` 这些参数通常与在进攻操作和恶意软件执行期间使用的混淆 PowerShell 活动相关联。 ## 截图  # 威胁狩猎验证 生成的遥测数据成功索引到 OpenSearch，并通过 Wazuh Dashboard 可搜索。 威胁狩猎验证活动包括： - 过滤高严重性警报 - 查看 PowerShell 命令行活动 - 验证 MITRE ATT&CK 映射 - 关联 Sysmon 进程执行遥测数据 生成的警报详细信息： | 字段 | 值 | |---|---| | 规则ID | 67027 | | 严重性 | 15 | | 描述 | 检测到编码 PowerShell 命令 | | 技术 | T1059.001 | | 日志源 | Sysmon 事件 ID 1 | ## 截图   # TheHive 集成 检测到的警报自动转发到 TheHive，使用自定义 Wazuh 集成脚本。 该集成允许 SOC 警报升级到事件响应工作流程以进行调查和案例管理。 TheHive 收到的以下信息： - 源IP地址 - 端点主机名 - 进程名称 - 命令行活动 - MITRE ATT&CK 映射 - 警报严重性 此集成演示了端点遥测数据如何从检测到事件响应处理通过完整的 SOC 管道移动。 ## 截图   # 检测工作流程总结 1. Atomic Red Team 生成了 PowerShell 攻击模拟活动。 2. Sysmon 捕获端点进程遥测数据。 3. Wazuh Agent 将日志转发到 Wazuh Manager。 4. 自定义 Wazuh 规则检测编码的 PowerShell 执行。 5. OpenSearch 索引警报以提供威胁狩猎可见性。 6. TheHive 收到升级的警报以进行事件响应操作。 # 关键要点 - Sysmon 提供了详细的端点遥测数据，对检测工程很有用。 - 编码的 PowerShell 执行仍然是 SOC 环境中的强大检测机会。 - Wazuh 自定义规则可以有效地检测可疑的 PowerShell 活动。 - OpenSearch 使集中式威胁狩猎和日志分析成为可能。 - TheHive 有助于将安全警报操作化为可管理的调查工作流程。 # 结论 本实验室成功演示了如何通过端到端的 SOC 工作流程检测和调查可疑的 PowerShell 执行。 从使用 Atomic Red Team 进行攻击模拟开始，遥测数据由 Sysmon 收集，由 Wazuh 分析，通过 OpenSearch 验证，并在 TheHive 中升级为事件案例。 除了技术实现之外，本项目提供了宝贵的动手经验，涉及检测工程、威胁狩猎和事件响应工作流程。它还强调了理解遥测、调整检测逻辑和为安全警报提供上下文的重要性。 本项目获得的知识为开发更高级的检测场景和在未来的实验室中扩展 SOC 监控能力奠定了基础。 # 参考资料 - MITRE ATT&CK – T1059.001 PowerShell - Atomic Red Team - Sysmon - Wazuh 文档 - TheHive 项目 - OpenSearch 文档

标签：AI合规, AMSI绕过, Atomic Red Team, CIDR查询, IPv6, PowerShell, Sysmon, T1059, TheHive, Wazuh, 威胁检测, 安全实验室, 安全警报, 安全运营中心, 攻击模拟, 数据泄露检测, 端点遥测, 终端安全, 网络映射, 驱动签名利用