andrespiris2/windows-threat-detection-lab

# Windows 威胁检测实验室 一系列基于 Windows 事件日志和 Sysmon 的检测用例， 通过在实际 SOC 分析场景中的动手实践构建而成。 ## 关于本项目 本仓库记录了我使用原生 Windows 日志和 Sysmon 检测常见攻击技术的方法。每个部分涵盖一个特定的检测类别，包括相关的 Event ID、关键指标以及一个实际案例的完整分析。 ## 检测类别 | # | 类别 | 关键 Event ID | |---|----------|--------------| | 01 | 身份验证事件 | 4624, 4625, 4648 | | 02 | 用户账户管理 | 4720, 4722, 4725, 4726, 4732 | | 03 | 进程监控 (Sysmon) | Sysmon 1 | | 04 | 网络连接 | Sysmon 3, 22 | | 05 | 文件和注册表更改 | Sysmon 11, 13 | | 06 | PowerShell 分析 | PowerShell 历史记录 | | 07 | Web Shell 检测 | Apache/Nginx 访问日志 | ## 工具与环境 - Windows Event Viewer - Sysmon (Florian Roth config) - Splunk (SIEM) - TryHackMe SOC labs ## 认证 - SAL1 Security Analyst — TryHackMe (2026) - 网络安全硕士 — Conquer Blocks (2026) - CC — ISC2 (进行中) ## 联系方式 - LinkedIn：linkedin.com/in/andres-piris-ab843796

标签：AMSI绕过, Conpot, DNS 反向解析, Sysmon, Windows安全, Windows 调试器, 威胁检测, 安全运营, 扫描框架