ilkin1cybsec-cloud/windows-event-log-detection-lab-

# Windows 事件日志检测实验室 ## 项目概述 本项目是一个为 SOC Analyst 作品集构建的 Windows 事件日志检测实验室。它使用示例 Windows 事件日志和 Sigma 风格的 YAML 规则来检测暴力破解活动、可疑的 PowerShell 使用情况、特权组成员身份更改以及失败的登录。 目标是模拟蓝队分析师如何审查 Windows 日志、编写检测逻辑、将可疑活动映射到 MITRE ATT&CK，并生成随时可调查的结果。 ## 展示技能 - Windows 安全事件日志分析 - 检测工程基础 - Sigma 风格规则编写 - Python 日志解析与自动化 - 暴力破解检测逻辑 - 可疑 PowerShell 检测 - 权限变更监控 - MITRE ATT&CK 映射 - SOC 调查报告撰写 ## 使用工具 - Python 3 - JSON Lines 示例日志数据 - YAML/Sigma 风格检测规则 - Markdown 报告 - Windows 安全事件 ID - MITRE ATT&CK 框架 ## 文件夹结构 ``` windows-event-log-detection-lab/ ├── data/ │ └── windows_events.jsonl ├── docs/ │ └── interview_explanation.md ├── reports/ │ └── detection_report.md ├── rules/ │ ├── brute_force.yml │ ├── failed_logon.yml │ ├── privilege_change.yml │ └── suspicious_powershell.yml ├── src/ │ ├── detect.py │ └── export_interview_explanation_pdf.py ├── .gitignore └── README.md ``` ## 使用的 Windows 事件 ID | 事件 ID | 含义 | 重要性 | |---|---|---| | 4624 | 成功登录 | 可显示可疑失败之后发生的成功访问 | | 4625 | 失败登录 | 用于检测登录失败和暴力破解 | | 4688 | 进程创建 | 用于检测可疑的命令执行 | | 4104 | PowerShell 脚本块日志记录 | 用于审查 PowerShell 脚本内容 | | 4728 | 用户被添加到全局安全组 | 可能表明提权或账户操纵 | | 4732 | 用户被添加到本地安全组 | 可能表明本地管理员访问权限变更 | ## 检测规则 ### 暴力破解 文件：`rules/brute_force.yml` 检测来自同一用户名和源 IP 的五次或更多次失败登录，随后伴随着一次成功登录。 MITRE ATT&CK： - 战术：Credential Access - 技术：T1110 Brute Force ### 可疑 PowerShell 文件：`rules/suspicious_powershell.yml` 检测使用可疑关键词（例如编码命令、绕过执行策略、`IEX` 或 `DownloadString`）的 PowerShell 活动。 MITRE ATT&CK： - 战术：Execution - 技术：T1059.001 PowerShell ### 权限变更 文件：`rules/privilege_change.yml` 检测被添加到特权组（例如 Administrators 或 Domain Admins）的用户。 MITRE ATT&CK： - 战术：Persistence - 技术：T1098 Account Manipulation ### 登录失败 文件：`rules/failed_logon.yml` 检测单个 Windows 登录失败事件。 MITRE ATT&CK： - 战术：Credential Access - 技术：T1110 Brute Force ## 如何运行项目 在项目文件夹中，运行： ``` python src/detect.py ``` 该脚本会生成以下报告： ``` reports/detection_report.md ``` ## 输出示例 发现结果示例： ``` ### 发现: 可疑的 PowerShell 执行 - Severity: High - Hostname: HR-WS-022 - Username: a.johnson - Process: powershell.exe - Command Line: powershell.exe -NoProfile -ExecutionPolicy Bypass -EncodedCommand ... - MITRE ATT&CK: Execution - T1059.001 PowerShell - Recommended Action: Collect the full command line, review parent process activity, and check endpoint telemetry for downloaded payloads. ``` ## 面试说明 你可以像这样解释这个项目： 你也可以这样说： ## 简历要点 ``` Developed Windows event log detection rules to identify brute-force activity, suspicious PowerShell usage, privilege changes, and authentication anomalies. ``` 进阶版本： ``` Built a Python-based Windows Event Log detection lab using Sigma-style YAML rules to identify brute-force activity, suspicious PowerShell, failed logons, and privileged account changes mapped to MITRE ATT&CK. ``` ## 未来的改进方向 - 添加更多 Windows 事件 ID - 为发现结果添加 CSV 导出功能 - 添加真正的 Sigma 规则转换 - 按用户或主机添加时间线分组 - 添加严重性评分 - 添加 Splunk 或 Microsoft Sentinel 查询示例

标签：OpenCanary, Python, Sigma规则, Windows事件日志, 安全运营, 扫描框架, 无后门, 目标导入, 红队行动, 逆向工具, 防御加固