thabosakonta-wq/sysmon-event-analysis-lab

GitHub: thabosakonta-wq/sysmon-event-analysis-lab

一个基于 Bash 脚本的 Sysmon 事件分析实验项目，帮助 SOC 分析师从 Windows 端点日志中检测可疑活动并映射到 MITRE ATT&CK 技术。

Stars: 0 | Forks: 0

Sysmon 事件分析实验室一个专注于分析 Sysmon 事件、检测可疑活动、将检测结果映射到 MITRE ATT&CK 技术以及记录调查发现的网络安全项目。概述该项目展示了 SOC 分析师如何调查 Sysmon 生成的端点遥测数据。检测脚本能够识别可疑行为，例如 PowerShell 执行、进程创建活动以及出站网络通信。功能特性 PowerShell 检测检测 PowerShell 执行活动识别潜在的可疑命令执行映射至 ATT&CK T1059.001 进程创建检测检测 Sysmon Event ID 1 监控进程执行活动支持端点调查工作流网络连接检测检测 Sysmon Event ID 3 识别出站网络通信支持威胁狩猎活动调查报告记录调查发现记录严重性评估将检测结果映射至 MITRE ATT&CK MITRE ATT&CK 覆盖范围 Sysmon 事件 ATT&CK 技术描述 Event ID 1 T1059 Command and Scripting Interpreter Event ID 1 T1059.001 PowerShell Event ID 3 T1071 Application Layer Protocol 使用的技术 Sysmon Bash Linux Termux MITRE ATT&CK Git GitHub 学习成果端点监控检测工程威胁狩猎 MITRE ATT&CK 映射事件调查安全监控 SOC 运营仓库结构 Sysmon-Event-Analysis-Lab ├── detections ├── reports ├── sample_logs ├── screenshots └── README.md 未来增强计划 Sigma Rule 映射 Wazuh 集成 Sysmon 事件关联威胁情报富化自动化报告 ## 截图 ### PowerShell 检测 ![PowerShell 检测](https://raw.githubusercontent.com/thabosakonta-wq/sysmon-event-analysis-lab/main/screenshots/powershell_detection.png) ### 进程创建检测 ![进程创建检测](https://raw.githubusercontent.com/thabosakonta-wq/sysmon-event-analysis-lab/main/screenshots/process_creation_detection.png) ### 网络连接检测 ![网络连接检测](https://raw.githubusercontent.com/thabosakonta-wq/sysmon-event-analysis-lab/main/screenshots/network_connection_detection.png) 作者 Thabo Sakonta Microsoft Certified Security Operations Analyst (SC-200)

标签：Bash, IP 地址批量处理, OpenCanary, Sysmon, 安全运营, 应用安全, 扫描框架, 网络安全研究