nitinsukthe/SOC-Lab-Windows-Sysmon-Log-Analysis

# SOC 实验室 – Windows Sysmon 日志分析 ## Windows 端点监控 | 威胁狩猎 | 事件调查 | MITRE ATT&CK 映射     # 项目概述 本项目通过在 Windows 端点上部署和分析 Microsoft Sysmon 日志，展示了实用的安全运营中心（SOC）分析师技能。 使用 Sysmon 和 Windows 事件查看器收集并分析端点遥测数据，以调查进程执行、网络活动、文件创建事件、镜像加载、DNS 查询和注册表修改。 本项目模拟了真实的 SOC 调查工作流程，并展示了安全分析师和蓝队防御者所使用的安全监控、威胁狩猎、事件关联、事件分析以及 MITRE ATT&CK 映射技术。 # 项目目标 * 部署并验证 Sysmon 端点监控 * 收集 Windows 安全遥测数据 * 调查进程创建事件 * 监控网络连接 * 分析文件创建活动 * 审查镜像加载事件 * 调查 DNS 查询遥测 * 检查注册表修改 * 执行威胁狩猎 * 将发现映射到 MITRE ATT&CK * 生成专业的 SOC 文档 # 展示技能 ## 安全运营 * 安全监控 * 威胁狩猎 * 事件调查 * 事件关联 * 端点检测 * IOC 识别 * 安全报告 ## Windows 安全 * Sysmon 部署 * 事件查看器分析 * 进程监控 * 网络监控 * 文件系统监控 * 注册表监控 ## SOC 分析师能力 * 日志分析 * 威胁检测 * MITRE ATT&CK 映射 * 检测工程基础 * 安全文档 * 安全调查 # 实验环境 | 组件 | 详细信息 | | -------------------- | ----------------------- | | 操作系统 | Windows 11 | | 监控工具 | Microsoft Sysmon | | 分析工具 | Windows 事件查看器 | | 日志来源 | Sysmon Operational Logs | | 调查方法 | 手动日志分析 | | 框架 | MITRE ATT&CK | # 项目架构 ``` Windows Endpoint │ ▼ Microsoft Sysmon │ ▼ Sysmon Operational Logs │ ▼ Windows Event Viewer │ ▼ Event Analysis │ ▼ Threat Hunting │ ▼ MITRE ATT&CK Mapping │ ▼ Security Findings │ ▼ Incident Investigation Report ``` # 调查演练 ## 步骤 1 – 验证 Sysmon 部署 通过以下路径验证了 Sysmon Operational 日志记录： Applications and Services Logs → Microsoft → Windows → Sysmon → Operational ### 截图  ## 步骤 2 – 进程创建分析 ### Event ID 1 调查了： * cmd.exe * ipconfig.exe * rundll32.exe 分析了： * Image * CommandLine * ParentImage * User Context ### 发现 观察到合法的进程执行活动。 ### 截图  ## 步骤 3 – 命令执行调查 执行了： ``` whoami ipconfig ``` Sysmon 成功捕获了命令执行遥测数据。 ### 截图  ## 步骤 4 – 网络连接分析 ### Event ID 3 调查了： * 浏览器流量 * UDP 通信 * 网络连接 观察到： * Brave 浏览器 * UDP Port 5353 * mDNS 通信 ### 截图  ## 步骤 5 – 文件创建分析 ### Event ID 11 调查了由 Windows 资源管理器生成的文件创建活动。 观察到： * 新建文本文档.txt ### 截图  ## 步骤 6 – 镜像加载分析 ### Event ID 7 调查了 DLL 加载活动。 观察到： * taskhostw.exe * urlmon.dll DLL 签名已验证为 Microsoft 签名。 ### 截图  ## 步骤 7 – 证据收集 导出 Sysmon 日志用于调查和归档。 ### 截图  ## 步骤 8 – 最终分析审查 验证了多个 Sysmon 事件类别。 观察到： * Event ID 1 * Event ID 3 * Event ID 7 * Event ID 11 * Event ID 13 * Event ID 22 ### 截图  # 安全发现 | 发现 | 结果 | | ----------------------------- | --------------- | | 已验证 Sysmon 部署 | 是 | | 进程创建监控 | 成功 | | 网络连接监控 | 成功 | | 文件创建监控 | 成功 | | 镜像加载监控 | 成功 | | DNS 查询监控 | 成功 | | 注册表监控 | 成功 | | 危害指标 (IOC) | 未识别 | # MITRE ATT&CK 映射 | Sysmon Event ID | Technique ID | Technique | | --------------- | ------------ | -------------------------------------- | | Event ID 1 | T1059 | Command and Scripting Interpreter | | Event ID 1 | T1016 | System Network Configuration Discovery | | Event ID 1 | T1033 | System Owner/User Discovery | | Event ID 3 | T1071 | Application Layer Protocol | | Event ID 7 | T1574 | Hijack Execution Flow | | Event ID 11 | T1074 | Data Staged | | Event ID 13 | T1112 | Modify Registry | | Event ID 22 | T1071.004 | DNS | # 威胁狩猎方法论 本次调查遵循了 SOC 分析师工作流程： 1. 收集端点遥测数据 2. 验证日志源 3. 调查进程活动 4. 分析网络通信 5. 审查文件创建事件 6. 验证 DLL 加载活动 7. 调查 DNS 查询 8. 关联事件 9. 将发现映射到 MITRE ATT&CK 10. 生成调查报告 # 安全建议 ## 监控 * 跨企业端点部署 Sysmon * 将日志集中到 SIEM 平台 * 持续审查 Event ID 1, 3, 7, 11, 13 和 22 ## 检测 监控： * powershell.exe * cmd.exe * rundll32.exe * certutil.exe * mshta.exe * wscript.exe ## SIEM 集成 推荐平台： * Splunk * Microsoft Sentinel * Elastic Security * IBM QRadar # 学习成果 通过本项目，我获得了以下方面的实践经验： * Windows 日志分析 * Sysmon 监控 * 威胁狩猎 * 事件关联 * 安全监控 * MITRE ATT&CK 映射 * 事件调查 * SOC 运营 * 端点可见性 * 安全报告 # 结论 本项目通过对 Windows Sysmon 遥测数据的真实调查，展示了实用的 SOC 分析师技能。通过分析进程创建、网络通信、文件创建事件、镜像加载、DNS 查询和注册表修改，实现了全面的端点可见性。 本项目展示了入门级 SOC 分析师、安全分析师、蓝队和云安全角色所需的安全监控、威胁狩猎、日志分析、事件关联和事件调查技能。 # 作者 **Nitin Sukthe** 未来 SOC 分析师 | 未来云安全工程师 专注于安全运营、威胁检测、日志分析、事件响应、云安全和蓝队工程。

标签：Cloudflare, IP 地址批量处理, MITRE ATT&CK, Sysmon, 子域名变形, 安全运营, 扫描框架, 终端监控, 网络信息收集