buddhamahidhar22-prog/Detection-engineering-lab

# 检测工程实验室 ## 概述 本项目旨在通过 Sysmon 和 PowerShell 日志记录，了解端点遥测、Windows 事件日志记录以及检测工程概念。 其主要目标是生成受控活动、观察产生的遥测数据、调查事件，并了解日志记录配置中存在的可见性盲区。 ## 实验环境 - Windows 11 - Sysmon - PowerShell 日志记录 - 事件查看器 ## 检测用例 1. 本地账户创建检测 2. PowerShell 文件创建检测 3. PowerShell 网络活动检测 4. 父子进程分析 5. PowerShell 命令执行日志记录 6. PowerShell 下载活动 7. 遥测盲区分析 ## 展示的核心技能 - 检测工程基础 - 安全监控 - 日志分析 - Windows 安全日志记录 - PowerShell 日志记录 - 事件调查 - 根本原因分析 - 端点遥测分析 ## 关键发现 一次 PowerShell 下载成功创建了文件，但未观察到预期的 Sysmon FileCreate 事件。 调查显示，Sysmon FileCreate 监控依赖于基于 include 的过滤，并且未监控测试期间使用的文件位置。 这证明了遥测盲区会如何影响检测覆盖率。 ## 状态 项目已完成 文档已上传

标签：AI合规, IPv6, PowerShell, Windows Sysmon, 安全监测, 终端遥测, 网络信息收集, 防御工程