Kamesh272004/Wazuh-SIEM-Windows-Endpoint-Threat-Detection-Hunting-Lab

# Wazuh SIEM Windows 端点攻击检测案例研究 ## 项目概述 本项目是一个使用 **Wazuh** 和 **Sysmon** 构建的 **Windows 端点攻击检测案例研究**。 该实验室的目标是在 Windows 10 端点上模拟多种可疑活动，将生成的遥测数据接入 Wazuh，并验证该平台是否能够通过其 **Threat Hunting** 界面检测、关联并展示这些活动。 与普通的监控实验室不同，本项目被构建为一个 **实践型 SOC 案例研究**： - 在 Windows 端点上手动生成可疑活动， - 审查 Wazuh 的检测结果， - 调查事件详情， - 并将警报映射到潜在的攻击者行为和 MITRE ATT&CK 技术。 本案例研究重点关注 **四大活动集群**： 1. **使用 Wazuh + Sysmon 验证端点遥测数据** 2. **多次 Windows 登录尝试失败** 3. **使用 `reg.exe` 进行注册表 Run Key 持久化** 4. **涉及 `calc.exe` 的可疑进程 / 命令行执行** # 案例研究目标 本项目的目标是回答以下 SOC 风格的问题： 为此，端点部署了 Wazuh 和 Sysmon，随后执行并调查了多项可疑操作。 # 所用环境 ## 监控技术栈 - **SIEM / XDR 平台：** Wazuh - **端点：** Windows 10 - **遥测数据源：** Sysmon + Windows Security Event Logs - **攻击 / 支持系统：** Kali Linux - **使用的 Shell：** Command Prompt 和 PowerShell # 案例研究流程 本案例研究按以下顺序执行： 1. **在 Windows 端点上验证 Wazuh agent 和 Sysmon 遥测数据** 2. **生成 Windows 可疑活动** - 伪造的登录尝试 - 注册表持久化 - 可疑命令执行 - PowerShell / 快捷方式活动 3. **在 Wazuh Threat Hunting 中搜索检测结果** 4. **打开事件详情并验证 Wazuh 捕获的内容** 5. **将发现映射到攻击者行为和 MITRE ATT&CK** # 第一阶段 – 端点遥测验证 在生成任何可疑活动之前，第一步是验证端点是否已正确部署。 ## 验证内容 - Windows 上正在运行的 Wazuh 服务 - Windows 上正在运行的 Sysmon 服务 - 可从 PowerShell 查看最近的 Sysmon 事件 - Wazuh agent 配置存在并指向 manager ## 截图证据 ### 1) Wazuh Agent + Sysmon 验证  ## 发现 截图确认： - **Wazuh 服务** 成功启动， - **Sysmon** 已安装并处于活动运行状态， - 可以从以下位置检索 Sysmon 事件数据： `Microsoft-Windows-Sysmon/Operational` - Windows 主机上存在 Wazuh agent 配置文件（`ossec.conf`）。 此阶段非常重要，因为案例研究的其余部分依赖于对以下内容的可靠收集： - **Windows Security logs** - **Sysmon 进程创建事件** - **Sysmon 注册表修改事件** # 第二阶段 – Windows 端点上的可疑活动生成 验证遥测数据收集后，在端点上生成了多个可疑操作，以测试 Wazuh 是否能检测到它们。 # 场景 A – PowerShell 快捷方式 / LNK 活动 执行了基于 PowerShell 的快捷方式创建序列，以生成可疑命令活动，并产生与用户执行 / 可疑脚本行为相关的端点遥测数据。 ## 截图证据 ### 2) PowerShell 快捷方式 / LNK 创建  ## 截图显示的内容 截图显示了通过 `WScript.Shell` 用于创建 Windows 快捷方式（`.lnk`）对象的 PowerShell 命令。 该快捷方式被配置为启动： - **目标路径：** `cmd.exe` - **参数：** `/c calc.exe` 最初的命令产生了错误，随后逐步执行了这些步骤，快捷方式成功保存。 ## 为什么这很重要 从 SOC 的角度来看，基于 PowerShell 的快捷方式创建非常重要，因为： - 它展示了脚本化的用户执行行为， - 它可能被滥用于钓鱼或持久化， - 并且它产生了对检测工程有用的端点遥测数据。 此活动也是对后续涉及 **cmd.exe** 和 **calc.exe** 的检测的补充。 # 场景 B – Windows 登录尝试失败 下一个活动是使用虚假用户账户生成失败的认证尝试。 ## 使用的命令 截图显示了以下命令模式的重复使用： ``` net use \\localhost /u:FakeHackerAccount Password123 ``` ## 3) 通过命令提示符进行的失败登录尝试 截图显示的内容 命令提示符输出显示了使用以下用户名的重复失败尝试： FakeHackerAccount Windows 系统返回： System error 1326 The user name or password is incorrect. ## 场景 C – 注册表 Run Key 持久化 随后，通过在当前用户的 Run key 下添加一个恶意的自启动注册表项，创建了一种持久化机制。 使用的命令 ``` reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "MaliciousUpdate" /t REG_SZ /d "C:\Windows\System32\calc.exe" /f ``` ## 4) 通过 reg.exe 创建注册表持久化 命令提示符显示了成功创建名为以下名称的注册表值： MaliciousUpdate 指向： ``` C:\Windows\System32\calc.exe ``` 位于当前用户的 Run 路径下。 ##场景 D – Kali 侦察活动 实验室中还使用了一台 Kali Linux 主机，对 Windows 系统执行了具有侵略性的 Nmap 扫描。 截图证据 ## 15) Kali Nmap 扫描终端 Kali 终端显示了对以下地址的 Nmap 侵略性扫描 (-A)： 192.168.0.108 扫描输出识别了： 开放端口， 服务详情， 操作系统指纹信息， 以及网络距离。 第三阶段 – Wazuh Threat Hunting 审查 生成可疑活动后，下一步是在 Wazuh Threat Hunting 中调查端点，并验证出现了哪些检测。 Wazuh 检测概览 截图证据 ## 5) Wazuh 中的 Sysmon 事件概览 此截图提供了 Windows 端点的整体 Wazuh 事件视图，并表明该平台捕获了多个相关检测，包括： 可疑的 Windows cmd shell 执行 由异常进程启动的 Windows 命令提示符 PowerShell 执行 放入通常被恶意软件使用的文件夹中的可执行文件 其他基于 Sysmon 的检测 ## 第四阶段 – 失败登录调查 随后对失败登录场景进行了详细调查。 ## 6) 多次登录失败检测 此截图显示的内容 Wazuh 检测到了重复的身份验证失败，并将其作为更高级别的警报呈现： Multiple Windows Logon Failures 这表明 Wazuh 不仅仅是存储了孤立的登录失败事件——它识别出了重复的模式。 ## 7) 失败登录事件详情 事件详情中可见的关键证据 事件详情显示： 目标用户名：FakeHackerAccount Windows Security Event ID：4625 失败登录元数据，例如： 登录类型 状态 / 子状态代码 目标用户字段 工作站信息 检测解读 这证实了重复的 net use 命令成功生成了 Windows Security 登录失败事件，并且 Wazuh 能够摄取并展示它们以供调查。 ## 第五阶段 – 注册表持久化调查 随后在 Wazuh 内部验证了注册表持久化活动。 截图证据 ## 8) 注册表 Run Key 检测 此截图显示的内容 Wazuh 检测到了注册表修改，并发出警报描述： Registry entry to be executed on next logon was modified using command line application reg.exe 这证实了该持久化操作不仅被 Sysmon 记录，而且还被 Wazuh 解读为可疑的 Run Key 修改。 ## 9) 注册表 Run Key 事件详情 事件详情中可见的关键证据 详细的事件视图显示： Sysmon Event ID 13（注册表值设置 / 注册表修改） Image：C:\Windows\system32\reg.exe TargetObject：结尾为以下路径的对象 \Software\Microsoft\Windows\CurrentVersion\Run\MaliciousUpdate Details：C:\Windows\System32\calc.exe 检测解读 这证明了从命令行执行的持久化操作在遥测级别被精准捕获，并展示了调查所需的关键取证字段： 进行更改的进程， 被修改的注册表对象， 以及写入的值。 ## 第六阶段 – 可疑注册表值 / 次级检测 除了 Run Key 警报之外，Wazuh 还展示了另一个与注册表值相关的检测。 截图证据 ## 10) 类 Base64 注册表值检测 此截图显示的内容 Wazuh 警报描述： Value added to registry key has Base64-like pattern 尽管本实验中的注册表值指向 calc.exe，但截图表明 Wazuh 具有基于内容的注册表检测逻辑，能够根据模式分析标记可疑值。 为什么这很重要 从 SOC 的角度来看，这非常有用，因为注册表监控不仅限于写入值的位置——它还可以包含关于该值具体内容的逻辑。 ## 第七阶段 – 可疑进程 / 命令执行调查 案例研究的下一部分重点关注 calc.exe 的执行及相关可疑命令行活动。 A. Calc 进程检测 截图证据 ## 11) Calc 进程检测 此截图显示的内容 Wazuh 事件视图显示了一个与以下内容相关的检测： data.win.eventdata.image:*calc.exe* 截图中可见的规则描述为： Suspicious Windows cmd shell execution 这表明 calc.exe 的执行在监控的遥测数据中是可见的，并且与可疑的 shell 行为相关联。 ## 12) Calc 进程事件详情 事件详情中可见的关键证据 详细的 Sysmon 事件包括： Image：C:\Windows\System32\calc.exe Original filename：CALC.EXE Description：Windows Calculator CommandLine：calc.exe 检测解读 这证实了 Sysmon 进程创建日志记录工作正常，并且可以通过 Wazuh 详细追踪 calc.exe 的执行情况。 B. 可疑 CMD Shell 检测 截图证据 13) 可疑 CMD 执行检测 此截图显示的内容 Wazuh 标记了一个具有以下规则描述的检测： Suspicious Windows cmd shell execution 事件列表将此活动与受监控的 Windows 端点相关联，并将其置于与其他可疑操作相同的窗口期内。 截图证据 ## 14) 可疑 CMD 执行事件详情 事件详情中可见的关键证据 详细的事件面板显示： - 基于 Sysmon 的遥测数据 - Wazuh 规则元数据 - 规则描述：Suspicious Windows cmd shell execution - MITRE ATT&CK ID：T1087 和 T1059.003 - 战术：Discovery, Execution - 技术：Account Discovery, Windows Command Shell - 检测解读 这是案例研究中最有说服力的部分之一，因为它表明该活动不仅被记录下来，而且丰富了以下内容： 规则上下文， 威胁分类， 以及 MITRE ATT&CK 映射。 这使得该事件比仅查看原始 Windows 日志对 SOC 分流有用得多。 案例研究发现 基于截图和事件证据，该实验室展示了以下内容： 1. Wazuh + Sysmon 成功捕获了 Windows 端点遥测数据 环境配置正确，Sysmon 日志在本地和 Wazuh 内部均可用。 2. 检测并关联了重复的失败登录尝试 net use 活动生成了 Windows Security Event ID 4625 日志，并且 Wazuh 展示了一个与虚假账户相关的 Multiple Windows Logon Failures 检测。 3. 注册表 Run Key 持久化清晰可见 reg add 操作创建了一个名为 MaliciousUpdate 的 Run Key，Wazuh 捕获了： - 修改进程 (reg.exe) - 精确的目标注册表路径 - 写入的值 (calc.exe) 4. 展示了具有有用上下文的可疑命令 / 进程活动 涉及 cmd.exe / calc.exe 的执行链生成了 Sysmon 进程创建事件及相应的 Wazuh 检测。 5. Wazuh 提供了超越原始日志记录的调查价值 该平台通过以下内容丰富了原始遥测数据： - 规则描述 - 警报严重性 - 分组检测 - MITRE ATT&CK 映射 - MITRE ATT&CK 映射 - 活动 案例研究中的证据 MITRE ATT&CK - 多次失败的登录尝试 Windows Event ID 4625 / Multiple Windows Logon Failures T1110 – Brute Force - 可疑的命令行执行 Wazuh 规则：Suspicious Windows cmd shell execution T1059.003 – Windows Command Shell - 注册表 Run Key 持久化 使用 reg.exe 修改 Run Key T1547.001 – Registry Run Keys / Startup Folder - 与发现相关的 shell 行为 关于可疑 cmd 事件的 Wazuh 规则元数据 T1087 – Account Discovery ## 展示的技能 本案例研究展示了与 SOC / Blue Team 角色相关的实践技能： - Wazuh agent 部署与验证 - 基于 Sysmon 的 Windows 遥测收集 - Windows 事件调查 - Waz 中的 Threat Hunting - 失败登录分析 - 注册表持久化检测 - 进程创建分析 - 使用 Wazuh 文档详情进行事件级分流 - 端点活动的 MITRE ATT&CK 映射 - 从原始检测构建基于证据的 SOC 案例研究 ## 结论 本项目展示了如何使用 Wazuh + Sysmon 监控 Windows 端点，以检测和调查可疑活动，例如失败登录尝试、Run Key 持久化以及可疑命令执行。 截图不仅展示了原始活动的生成，还展示了完整的 SOC 工作流程： - 生成端点活动， - 验证遥测数据收集， - 在 SIEM 中调查检测结果， - 检查事件详情， - 将发现映射到攻击者技术。 因此，本项目可作为一项实用的 SOC 检测案例研究，而不仅仅是一个简单的配置实验室。

标签：AI合规, Sysmon, Wazuh, 安全运营, 扫描框架