moni11421/windows-event-log-monitoring-lab

# windows-event-log-monitoring-lab 使用 Sysmon 和 Event Viewer 的 Windows Event Log 监控与 Threat Hunting 实验室 # 使用 Sysmon 的 Windows Event Log 监控实验室 ## 项目概述 本项目演示了使用 Sysmon 和 Event Viewer 进行的 Windows endpoint 监控。 目标是生成并调查 SOC Analyst 常用分析的 Windows 安全事件。 ## 使用的工具 * Windows 11 虚拟机 * VMware Workstation * Sysmon * Event Viewer * PowerShell ## 调查的事件 ID ### Event ID 1 - 进程创建 已调查： * Notepad.exe * PowerShell.exe * Whoami.exe * Hostname.exe * Ipconfig.exe * Chrome.exe ### Event ID 11 - 文件创建 调查了文件创建活动，并追踪了负责创建文件的进程执行情况。 ### Event ID 22 - DNS Query 调查了 DNS 查找和域名解析活动。 ## 主要发现 * 进程创建事件揭示了用户和进程活动。 * DNS 查询事件有助于识别外部通信。 * 文件创建事件有助于追踪恶意软件和可疑文件。 * 父子进程关系对 Threat Hunting 很有帮助。 ## 展示的技能 * Windows 日志分析 * Sysmon 监控 * Event Viewer 调查 * Threat Hunting * 进程分析 * 事件调查 ## 作者 Mohan R SOC Analyst 家庭实验室项目

标签：AI合规, IP 地址批量处理, Mr. Robot, SOC分析, Sysmon, 网络安全审计