nmanoj9/SOC-Project-3-Windows-Security-Logs-and-Sysmon-Investigation
GitHub: nmanoj9/SOC-Project-03-Windows-Security-Logs-and-Sysmon-Investigation
该项目演示了 SOC Analyst 如何利用 Windows 安全日志和 Sysmon 日志进行身份验证审查、进程监控、网络连接分析和事件关联调查。
Stars: 0 | Forks: 0
# Windows 安全日志与 Sysmon 调查
## 项目概述
本项目演示了 SOC Analyst 使用 Windows 安全日志和 Sysmon 日志进行的调查。目的是分析身份验证活动,检测失败的登录尝试,调查进程创建和终止事件,审查网络连接,并执行事件关联。
## 目标
* 调查 Windows 安全事件 ID 4624(成功登录)
* 调查 Windows 安全事件 ID 4625(失败登录)
* 检测潜在的暴力破解身份验证活动
* 分析 Sysmon 事件 ID 1(进程创建)
* 分析 Sysmon 事件 ID 3(网络连接)
* 分析 Sysmon 事件 ID 5(进程终止)
* 执行事件关联和调查
* 使用 SOC Analyst 方法论记录发现
## 使用的工具
* Microsoft Windows 11
* Windows Event Viewer
* Sysmon
## 日志来源
### Windows 安全日志
* 事件 ID 4624 – 成功登录
* 事件 ID 4625 – 失败登录
### Sysmon 日志
* 事件 ID 1 – 进程创建
* 事件 ID 3 – 网络连接
* 事件 ID 5 – 进程终止
## 调查工作流程
1. 审查了 Windows 安全身份验证日志。
2. 分析了成功登录事件(事件 ID 4624)。
3. 调查了失败登录事件(事件 ID 4625)。
4. 评估了失败登录模式以查找潜在的暴力破解活动。
5. 调查了 Sysmon 事件 ID 1(进程创建)。
6. 调查了 Sysmon 事件 ID 3(网络连接)。
7. 调查了 Sysmon 事件 ID 5(进程终止)。
8. 将 Windows 安全和 Sysmon 事件相关联,以了解整体系统活动。
9. 记录了发现、分析师观察结果和建议。
## 关键发现
### 事件 ID 4625 – 失败登录
* 观察到多次失败的登录尝试。
* 活动类似于密码猜测或暴力破解行为。
* 未确认存在帐户入侵。
### 事件 ID 4624 – 成功登录
* 观察到成功登录事件。
* 未确认存在帐户入侵或恶意身份验证活动。
### Sysmon 事件 ID 1 – 进程创建
- 成功捕获并分析了 Notepad.exe 进程创建事件。
- 父子进程关系看起来合法。
- 未识别出可疑的进程执行指标。
### Sysmon 事件 ID 3 – 网络连接
- 成功捕获并分析了由 OneDrive.exe 发起的出站 HTTPS 连接。
- 目标地址和协议与合法的云同步活动一致。
- 未识别出可疑的网络通信或入侵指标。
### Sysmon 事件 ID 5 – 进程终止
- 成功捕获并分析了 mmc.exe 的进程终止事件。
- 终止的进程与合法的 Windows 管理活动一致。
- 未识别出可疑的进程终止行为。
## MITRE ATT&CK 映射
| 技术 ID | 技术名称 | 证据 |
|--------------|----------------|----------|
| T1110 | 暴力破解 | 多次失败登录尝试(事件 ID 4625) |
| T1078 | 有效帐户 | 成功登录事件分析(事件 ID 4624) |
| T1071 | 应用层协议 | 使用 Sysmon 事件 ID 3 的 HTTPS 网络连接分析 |
### MITRE ATT&CK 分析
- **T1110 (暴力破解):** 在 Windows 安全日志分析期间发现了多次失败的身份验证尝试。
- **T1078 (有效帐户):** 使用 Windows 安全事件 ID 4624 分析了成功登录事件,以验证合法的身份验证活动。
- **T1071 (应用层协议):** 使用 Sysmon 事件 ID 3 分析了 HTTPS 网络连接,并展示了对应用层网络活动的可见性。
## 展示的技能
* 安全监控
* Windows 事件日志分析
* Sysmon 分析
* 身份验证调查
* 事件关联
* 威胁检测
* 事件调查
* SOC Analyst 方法论
* 安全文档记录
* Windows 安全监控
## 结论
本项目通过 Windows 安全日志分析和 Sysmon 调查展示了实用的 SOC Analyst 技能。对身份验证事件、进程执行、网络连接和进程终止活动进行了分析和关联,以了解系统行为。在调查期间未确认存在恶意活动,且观察到的事件与预期的系统和用户活动一致。该项目成功验证了跨多个 Windows 日志来源的可见性,并演示了结构化的 SOC 调查工作流程。
## 项目状态
**已完成**
标签:SOC分析, Sysmon, Windows安全日志, 事件关联, 安全调查, 安全运营, 扫描框架, 红队行动