thabosakonta-wq/windows-event-log-analysis-lab

# Windows 事件日志分析实验室 一个基于 Linux/Termux 的 Bash 构建的轻量级 Windows 安全事件日志分析实验室，用于模拟安全运营中心 (SOC) 的监控和调查工作流。 ## 概述 本项目演示了 SOC 分析师如何调查 Windows 安全事件日志，以识别可疑活动、权限提升尝试、账户创建事件和身份验证失败。 该实验室使用示例 Windows 安全日志和自定义 Bash 检测脚本来模拟真实的监控和告警过程。 ## 功能特性 ### 失败登录检测 检测指示身份验证失败尝试的 Windows 事件 ID 4625 条目。 ### 特权活动检测 检测指示特权账户活动的 Windows 事件 ID 4672 条目。 ### 账户创建检测 检测指示新用户账户创建的 Windows 事件 ID 4720 条目。 ### 调查报告 生成调查结果和补救建议。 ## 示例 Windows 事件 - 事件 ID 4625 – 失败登录 - 事件 ID 4624 – 成功登录 - 事件 ID 4672 – 特权活动 - 事件 ID 4720 – 账户创建 ## 使用技术 - Bash - Linux - Termux - Windows 事件日志 - 安全监控 - 事件调查 - Git - GitHub ## 检测覆盖范围 检测| 事件 ID| 严重程度 失败登录检测| 4625| 中 特权活动检测| 4672| 高 账户创建检测| 4720| 高 ## 学习成果 本项目展示了对以下方面的实际理解： - Windows 事件日志分析 - 安全监控 - 事件调查 - 威胁检测 - SOC 运营 - 日志分析 - Bash 自动化 - 检测工程 ## 仓库结构 Windows-Event-Log-Analysis/ ├── detections/ ├── sample_logs/ ├── reports/ ├── screenshots/ └── README.md ## 未来增强计划 - Sysmon 事件分析 - Sigma 规则映射 - MITRE ATT&CK 映射 - PowerShell 日志分析 - 威胁情报丰富 - 自动化告警 ## 作者 Thabo Sakonta Microsoft 认证安全运营分析师 (SC-200)

标签：安全实验, 安全运营, 应用安全, 扫描框架, 网络安全研究