ag48665/Incident-Response-Lab

GitHub: ag48665/Incident-Response-Lab

该项目演示了基于 Splunk 和 Sysmon 进行 Windows 端点可疑 PowerShell 活动的事件响应调查全流程。

Stars: 0 | Forks: 0

# 事件响应实验 ## 概述本项目演示了使用 Splunk Enterprise、Sysmon 遥测和 Windows 事件日志进行的基本事件响应调查。本实验的目标是模拟 SOC 分析师的工作流程：检测可疑活动、调查相关事件、构建时间线、记录调查结果，并建议响应措施。 ## 场景在一个 Windows 端点上检测到了可疑的 PowerShell 执行。 PowerShell 通常被管理员使用，但也经常被攻击者滥用于执行、发现、持久化和 payload 投递。本次调查的目的是确定： * 是什么进程执行了 PowerShell * 涉及了哪个用户账户 * 是否发生了额外的发现活动 * 是否存在相关的网络或文件活动 * 应该建议采取哪些响应措施 ## 环境 | 组件 | 详细信息 | | ---------- | ------------------------------------ | | SIEM | Splunk Enterprise 10.4 | | 端点 | Windows 11 | | 遥测 | Sysmon | | 日志源 | Microsoft-Windows-Sysmon/Operational | | 框架 | MITRE ATT&CK | ## 检测 ### 可疑的 PowerShell 执行 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "powershell.exe" ``` ### MITRE ATT&CK 映射 | 技术 ID | 技术 | | ------------ | ---------- | | T1059.001 | PowerShell | ### 证据 ![PowerShell 调查](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6b266c62a2071225.png) ## 调查步骤 ### 1. 识别 PowerShell 执行分析师审查了与 PowerShell 相关的 Sysmon 进程执行事件。 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "powershell.exe" ``` 收集的证据： ![PowerShell 调查](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6b266c62a2071225.png) ### 2. 审查命令行 Shell 活动分析师搜索了命令提示符活动，这可能表明存在后续执行或攻击者的手动操作。 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "cmd.exe" ``` 收集的证据： ![CMD 调查](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a457779794071231.png) ### 3. 检查账户发现分析师搜索了在侦察期间常用的账户发现命令。 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ("whoami.exe" OR "net.exe" OR "net1.exe") ``` 收集的证据： ![账户发现](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/e2bf55952d071237.png) ### 4. 审查网络连接分析师审查了 Sysmon 网络连接事件，以识别可能的出站通信。 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "3" ``` 收集的证据： ![网络连接](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6a795f1df4071242.png) ### 5. 审查文件创建事件分析师审查了文件创建活动，以识别可能的 payload 暂存或被释放的文件。 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "11" ``` 收集的证据： ![文件创建](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/84b1ce9b59071248.png) ## 事件时间线 | 时间 | 活动 | 证据 | | ---- | --------------------------- | ----------------------- | | T1 | 检测到 PowerShell 执行 | Sysmon 进程创建 | | T2 | 审查命令行 shell 活动 | Sysmon 进程创建 | | T3 | 审查账户发现活动 | whoami / net 命令 | | T4 | 审查网络连接 | Sysmon 事件 ID 3 | | T5 | 审查文件创建活动 | Sysmon 事件 ID 11 | ## 调查结果 * 在受监控的端点上检测到了 PowerShell 执行。 * 审查了命令行 shell 活动以查找相关活动。 * 观察并调查了账户发现命令。 * 审查了网络连接事件以查找可能的外部通信。 * 审查了文件创建活动以寻找 payload 暂存的迹象。 * 在本次调查期间未确认存在恶意 payload。 * 该活动被视为可疑活动，并根据 SOC 分诊程序进行了调查。 ## 响应建议 * 验证该 PowerShell 活动是否是预期或已授权的。 * 审查与该活动相关的用户账户。 * 检查父进程和命令行参数。 * 审查相关的网络通信。 * 调查同一时间范围内的文件创建事件。 * 如果确认存在恶意活动： * 隔离端点 * 禁用或重置受影响的账户 * 收集取证证据 * 升级上报给事件响应团队 * 创建或调整检测规则以提高可见性 ## 经验教训 * Sysmon 为事件调查提供了有价值的端点遥测数据。 * Splunk 能够对进程、网络和文件事件进行高效分析。 * 应始终结合父进程、用户账户、命令行参数、网络活动和文件操作来审查 PowerShell 活动。 * 结构化的调查工作流程可以提高一致性并提升响应质量。 ## 展示的技能 * 事件响应 * SOC 告警分诊 * Splunk SPL * Sysmon 分析 * Windows 事件分析 * MITRE ATT&CK 映射 * 时间线分析 * 证据收集 * 检测工程 * 安全监控 ## 作者 **Agata Gabara** 网络安全分析师 | SOC 分析师 | 威胁狩猎者 GitHub: https://github.com/ag48665

标签：OpenCanary, 安全实验, 安全运营, 扫描框架