XploitNomad/SOC-DFIR-Threat-Hunting-Lab

# SOC-DFIR-Threat-Hunting-Lab Windows DFIR 与 Threat Hunting 实验室 项目概述 本项目演示了如何使用免费工具构建一个基础的 SOC/DFIR 家庭实验室，以模拟攻击者活动、收集 Windows 日志并调查可疑行为。该实验室构建在一台 Windows 11 机器上，使用了 Splunk、Sysmon 和 Atomic Red Team。 目的是了解安全分析师如何监控端点、调查警报、 hunt 可疑活动，并从 Windows 系统中收集电子数据取证证据。 按照以下步骤，您可以重建相同的实验室并执行自己的调查。 # 使用的工具 | 工具 |用途 | |-----------------------------------------------|----------------------------| |Splunk Enterprise (免费版) | 日志收集与分析| | Splunk Universal Forwarder | 将 Windows 日志发送至 Splunk| | Sysmon (Sysinternals) | 生成详细的 Windows 安全事件| | Atomic Red Team | 模拟攻击者技术| | PECmd |分析 Windows Prefetch 文件| |Windows Event Viewer | 查看 Windows 事件日志| |PowerShell & Command Prompt| 生成并调查活动| # 实验室架构 Windows 11 主机 ▼ Sysmon ▼ Splunk Universal Forwarder ▼ Splunk Enterprise ▼ Threat Hunting 与调查 # 操作步骤 步骤 1：安装 Splunk Enterprise 在您的 Windows 机器上下载并安装 Splunk Enterprise。 安装完成后： 启动 Splunk。 创建管理员账户。 访问 Splunk Web 界面。 默认 URL： http://localhost:8000 在进入下一步之前，请验证 Splunk 是否已成功运行。 步骤 2：安装 Sysmon 从 Microsoft Sysinternals 下载 Sysmon。 解压文件并以管理员身份打开 Command Prompt。 安装 Sysmon： Sysmon64.exe -accepteula -i 验证安装： sysmon64.exe -c 您现在应该会看到在以下路径下生成了 Sysmon 事件： Applications and Services Logs └─ Microsoft └─ Windows └─ Sysmon └─ Operational Sysmon 将提供有关进程创建和命令执行的详细日志，这些日志稍后将被发送到 Splunk。 步骤 3：安装 Splunk Universal Forwarder 在同一台 Windows 机器上安装 Splunk Universal Forwarder。 Universal Forwarder 负责将 Sysmon 日志发送到 Splunk。 创建或编辑 inputs 配置文件并添加： [WinEventLog://Microsoft-Windows-Sysmon/Operational] disabled = 0 index = sysmon renderXml = true source = XmlWinEventLog:Sysmon 保存配置后重启 Splunk Universal Forwarder 服务。 正确配置后，Sysmon 日志应开始出现在 Splunk 中。 步骤 4：生成活动 为了创建用于调查的数据，请使用 Atomic Red Team 和手动命令模拟常见的攻击者行为。 运行以下命令： powershell.exe cmd.exe nslookup github.com ping google.com 这些命令会生成进程创建和网络相关的事件。 为了模拟持久化，创建一个计划任务： schtasks /create /tn WindowsUpdateCheck /tr notepad.exe /sc onlogon 这将创建一个任务，每当用户登录时就会启动 Notepad。 步骤 5：在 Splunk 中调查活动 生成活动后，打开 Splunk 并开始搜索证据。 搜索 PowerShell 活动 index=sysmon powershell.exe 此搜索可识别 PowerShell 执行事件。 搜索 Command Prompt 活动 index=sysmon cmd.exe 此搜索可识别 Command Prompt 执行事件。 搜索 DNS 活动 index=sysmon nslookup.exe 此搜索可识别由 nslookup 生成的 DNS 查询活动。 搜索应用程序执行 index=sysmon calc.exe 此搜索可用于识别应用程序（例如计算器）的执行情况。 步骤 6：执行取证分析 分析 Prefetch 文件 Windows Prefetch 文件可以提供程序执行的证据。 使用 PECmd 分析 Prefetch 目录： PECmd.exe -d "C:\Windows\Prefetch" -q --csv "C:\DFIR-Lab\Timeline" 查看生成的输出以了解已执行的应用程序。 测试期间观察到的示例： POWERSHELL.EXE NOTEPAD.EXE 这有助于确认系统上已执行过这些应用程序。 查看 Windows 事件日志 使用 Event Viewer 查看： Applications and Services Logs └─ Microsoft └─ Windows └─ Sysmon └─ Operational 这些日志提供了有关进程执行和系统活动的更多详细信息。 查看 PowerShell 历史记录 PowerShell 命令历史记录可以在调查期间提供有用的证据。 运行： Get-Content (Get-PSReadLineOption).HistorySavePath 这将显示之前执行过的 PowerShell 命令。 # MITRE ATT&CK 映射 观察到的活动可以映射到 MITRE ATT&CK 技术： | 活动 |技术 | |------------|------------| |PowerShell 执行 | T1059.001 | |Command Shell | T1059.003 | |计划任务 | T1053 | |DNS 活动 |T1071.004 | # 展现的技能 通过这个项目，我获得了以下方面的实践经验： -安全监控 -Threat Hunting -Splunk SIEM -Sysmon 日志分析 -Windows 事件分析 -数字取证 -事件调查 -IOC 识别 -MITRE ATT&CK 映射 -DFIR 基础 结论 本实验室演示了如何使用免费工具构建一个简单的 Windows DFIR 和 Threat Hunting 环境。通过结合 Sysmon、Splunk Enterprise、Splunk Universal Forwarder、Atomic Red Team 和 PECmd，可以生成逼真的活动、收集日志、调查可疑行为并分析取证工件。 该项目提供了实践经验，涉及 SOC 分析师和 DFIR 调查人员在响应 Windows 系统上的安全事件时通常使用的相同类型的工具和工作流程。

标签：AI合规, Conpot, Windows安全, 安全运营, 实验室环境, 扫描框架