idsin02/temphex-threat-hunting-lab

# TEMP.Hex 威胁狩猎实验室 ## 概述 基于 TEMP.Hex/SOGU 技术的受攻击活动启发的威胁狩猎项目。 ## ATT&CK 覆盖范围 T1091 T1059.003 T1059.001 T1082 T1033 T1074.001 T1071.001 # 附录 A — 实验环境搭建 ## 环境 在此模拟中，使用 Windows 11 作为测试环境。 ## 步骤 1 — 下载 Sysmon 从 Microsoft Sysinternals 下载 Sysmon： https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon ## 步骤 2 — 下载 Sysmon 配置 下载 SwiftOnSecurity Sysmon 配置文件： https://github.com/SwiftOnSecurity/sysmon-config ## 步骤 3 — 安装 Sysmon 以管理员身份打开**命令提示符**并执行： ``` /path/to/sysmon/folder/Sysmon64.exe -accepteula -i /path/to/sysmon-config-master/folder/sysmonconfig-export.xml ``` 示例： ``` Sysmon64.exe -accepteula -i sysmonconfig-export.xml ``` ## 步骤 4 — 验证 Sysmon 服务 运行： ``` sc query Sysmon ``` 预期输出： ``` STATE : 4 RUNNING ``` 这确认了 Sysmon 服务已安装并正在积极收集遥测数据。 ## 步骤 5 — 验证 Sysmon 日志可用性 以管理员身份打开 **PowerShell** 并运行： ``` Get-WinEvent -ListLog *sysmon* ``` 预期输出： ``` Microsoft-Windows-Sysmon/Operational ``` 这确认了可以通过 Windows 事件日志获取 Sysmon 日志记录。 ## 步骤 6 — 验证事件是否正在生成 打开： ``` Event Viewer │ └── Applications and Services Logs └── Microsoft └── Windows └── Sysmon └── Operational ``` 此日志包含所有由 Sysmon 生成的事件。 示例包括： | 事件 ID | 描述 | | -------- | ------------------ | | 1 | 进程创建 | | 3 | 网络连接 | | 11 | 文件创建 | | 13 | 注册表值设置 | | 22 | DNS 查询 | 这些事件构成了整个威胁狩猎项目中使用的主要遥测数据源。 ## 验证截图： 以下截图展示了： * Sysmon 安装 * Sysmon 服务运行 * Sysmon 日志可用性 * 事件 ID 1 进程创建遥测 * 从模拟的可移动介质暂存目录执行 ## 实验阶段 阶段 1 USB 执行 阶段 2 发现、暂存和网络活动 阶段 3 Beaconing 和命令与控制 (C2) 阶段 4 持久化

标签：AI合规, OpenCanary, Sysmon, 安全实验环境, 无线安全