CyberGirl74/cybersecurity-labs

# Cybersecurity-Labs 记录我的网络安全之旅，涵盖动手实践的 Sysmon 实验、事件分析、威胁狩猎和蓝队调查。🌩️⚡ # Sysmon 威胁狩猎实验 ## 概述 本项目记录了我使用 Sysmon 安装、配置和调查 Windows 终端节点活动的实践经验。该实验的目标是获取 SOC 分析师和蓝队专业人员所使用的安全监控、事件分析和威胁狩猎技术的实践经验。 ## 目标 * 安装和配置 Sysmon * 分析 Windows 事件日志 * 监控进程创建和终止事件 * 调查 DNS 查询活动 * 练习 PowerShell 日志分析 * 培养威胁狩猎技能 ## 使用的技术 * Sysmon * PowerShell * Windows Event Viewer * Windows 11 * Splunk（安装在主机上） ## 调查的关键事件 ID | 事件 ID | 描述 | | -------- | ----------------------------- | | 1 | 进程创建 | | 5 | 进程终止 | | 11 | 文件创建 | | 12 | 注册表对象创建/删除 | | 13 | 注册表值设置 | | 22 | DNS 查询 | ## 实验活动 ### 进程创建监控 通过启动 Notepad 并分析以下内容，验证了 Sysmon 事件 ID 1： * 进程名 * 父进程 * 用户账户 * 命令行 * 文件哈希 * 完整性级别 ### DNS 查询监控 通过使用以下命令生成 DNS 活动，验证了 Sysmon 事件 ID 22： * ping google.com * nslookup google.com 分析了： * 查询名 * 负责进程 * 用户上下文 * 时间戳 ### PowerShell 日志分析 使用 PowerShell 查询和过滤 Sysmon 日志： ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ``` ``` Where-Object {$_.Id -eq 1} ``` ``` Where-Object {$_.Id -eq 22} ``` ## 掌握的技能 * 威胁狩猎 * 事件日志分析 * 终端节点监控 * PowerShell 基础 * 安全事件调查 * 蓝队运营 * 安全监控 ## 关键要点 该实验提供了终端节点可见性方面的实践经验，并演示了安全分析师如何识别进程执行、调查 DNS 活动，以及使用 Sysmon 遥测数据关联事件。通过这次练习，我获得了对安全运营中心 (SOC) 中使用的调查思维的实践认识。 ## 未来增强 * 将 Sysmon 与 Wazuh 集成 * 创建自定义检测规则 * 调查网络连接事件 * 构建 Splunk 仪表板 * 开发更多威胁狩猎场景 **作者：** Shauna "Storm" Davis **专业：** 网络与数据安全技术 **专注领域：** SOC 分析师 | 威胁狩猎 | 蓝队运营

标签：AI合规, Sysmon, 安全实验环境, 端点监控