Nayanathaara/Windows-Incident-Response-Malicious-Script-Investigation

# Windows 事件响应 - 使用 Sysmon 和 Splunk 调查可疑的 Batch Script ## 项目总结 本项目演示了在家庭实验环境中所执行的 Windows 端点事件响应调查。在 Windows 11 主机上执行了一个可疑的 Batch Script。 收集到的信息被写入到存储在临时目录中的多个文本文件中。生成的 Sysmon 日志被导出并摄入到托管于 Ubuntu Server 虚拟机上的 Splunk Enterprise 中。随后对日志数据进行了分析，以重建活动、检查生成的 artifacts，并在正式的事件响应报告中记录调查结果。 ## 展示的技能 - Windows 端点调查 - Windows 事件响应 - 日志分析 - 识别对抗行为并将其映射到 **MITRE ATT&CK** Discovery 技术 ## 目标 - 使用自定义的 Windows Batch Script 模拟可疑的端点活动。 - 使用 Splunk 搜索调查生成的 Sysmon 事件。 - 识别执行的命令并关联父-子进程关系。 - 检查脚本执行期间生成的 artifacts。 - 撰写一份分析师风格的事件响应报告，对调查进行记录。 ## 实验架构 调查是在一个家庭实验环境中进行的，该环境由一台 Windows 11 端点和一个托管在 Ubuntu Server 虚拟机上的 Splunk Enterprise 服务器组成。 Windows 端点在模拟攻击期间生成了 Sysmon 遥测数据。生成的 Sysmon 日志被导出并摄入到 Splunk Enterprise 中进行分析。  **图 1.** 用于事件响应调查的家庭实验架构。 ## 使用的工具 | 工具 | 用途 | |------|---------| | Windows 11 (主机) | 用于执行模拟攻击的端点 | | Sysmon | 生成详细的进程创建遥测数据 | | Event Viewer | 查阅 Windows 事件日志 | | Splunk Enterprise | 日志摄入、搜索和调查 | | Ubuntu Server VM | 托管 Splunk Enterprise 实例 | | Batch Script (.bat) | 模拟可疑的端点行为 | ## 攻击场景 在 Windows 11 端点上执行了一个名为 **Invoice_Update_2026.pdf.bat** 的可疑 Batch Script，以模拟在攻击早期阶段常见的侦测活动。 该脚本执行了多个原生的 Windows 命令，以收集有关系统、用户、网络配置、运行进程和本地账户的信息。收集到的信息被写入到临时文件夹下的文本文件中。 ## 调查与事件报告 随附的事件报告提供了有关调查、支持性证据、屏幕截图和事件分析的详细演示。 **[查看事件响应报告](Incident-Response-Report.md)** ## 经验总结 * 加深了对由 Sysmon 生成的 Windows 端点遥测数据的理解。 * 学会了如何在调查期间将进程创建事件与端点 artifacts 关联起来。 * 获得了将观察到的主机侦测活动映射到 **MITRE ATT&CK 框架** 的实践经验。 * 通过撰写分析师风格的事件响应报告，强化了事件记录技能。

标签：Cloudflare, MITRE ATT&CK, Sysmon, 库, 应急响应, 无线安全