genius-detection-labs/windows-threat-hunting-project-1

# Windows 威胁狩猎实验室 – 项目 1 ## 概述 本项目演示了使用 Event Viewer、Sysmon、Sigma 规则和 MITRE ATT&CK 映射进行的 Windows 威胁狩猎与检测工程实践。 该实验室模拟了攻击者的技术，并记录了从证据收集到创建检测规则的完整调查过程。 ## 目标 - 分析 Windows 事件日志 - 调查 Sysmon 遥测数据 - 检测持久化机制 - 创建 Sigma 检测规则 - 构建攻击时间线 - 记录调查结果 ## 使用的工具 - Windows Event Viewer - Sysmon - 命令提示符 - Sigma 规则 - MITRE ATT&CK 框架 ## 已完成的活动 ### 活动 1 Windows 事件日志探索 ### 活动 2 用户活动调查 ### 活动 3 Sysmon 进程监控 ### 活动 4 防火墙修改检测 技术： T1562.004 – Disable or Modify Firewall（禁用或修改防火墙） 证据： ``` netsh advfirewall set allprofiles state off ``` ### 活动 5 Windows 服务持久化检测 技术： T1543.003 – Create or Modify System Process: Windows Service（创建或修改系统进程：Windows 服务） 证据： ``` sc create UpdateService binPath= "C:\Windows\System32\cmd.exe" ``` ## 展示的技能 - 威胁狩猎 - 日志分析 - 事件调查 - 检测工程 - MITRE ATT&CK 映射 - Windows 安全监控 - SOC 分析师方法论 ## 项目结构 ``` Project-1-Windows-Threat-Hunting-Lab/ ├── README.md ├── investigation-notes/ ├── timelines/ ├── sigma-rules/ ├── logs/ ├── screenshots/ └── mitre-mapping/ ``` ## MITRE ATT&CK 覆盖范围 | 技术 | 描述 | |------------|-------------| | T1562.004 | 禁用或修改防火墙 | | T1543.003 | Windows 服务持久化 | ## 关键成果 本项目演示了使用 Windows 原生日志记录和 Sysmon 遥测数据来检测和调查常见攻击者技术的能力。 该项目还展示了与 SOC 分析师和网络安全分析师角色相关的文档编写、报告以及检测工程技能。

标签：BurpSuite集成, Sigma规则, Sysmon, 安全实验室, 目标导入, 管理员页面发现