abhinavkishor9/microsoft-defender-antivirus-scan-investigation

# microsoft-defender-antivirus-scan-investigation ## 概述 本项目演示了 Microsoft Defender Antivirus 在“快速扫描”期间如何生成安全遥测数据，以及如何使用 Windows 事件查看器调查这些事件。 本实验的重点是从 SOC 分析师的角度理解 Defender 操作日志、事件 ID、扫描结果和保护历史记录。 ## 目标 - 执行 Microsoft Defender 快速扫描 - 监控扫描进度 - 查看保护历史记录 - 调查 Windows Defender 操作日志 - 分析 Defender 事件 ID - 理解 Defender 安全遥测 ## 实验环境 | 组件 | 值 | |-----------|-------| | 操作系统 | Windows 10 x64 | | 安全产品 | Microsoft Defender Antivirus | | 日志来源 | Windows Defender Operational | | 调查工具 | 事件查看器 | | Hypervisor | VMware Workstation | # MITRE ATT&CK 映射 | 技术 | ID | |-----------|----| | 指示器清除（监控安全事件） | T1070 | | 系统信息发现 | T1082 | | 安全软件发现 | T1518.001 | # 调查工作流 1. 启动 Windows 安全中心 2. 打开“病毒和威胁防护” 3. 启动快速扫描 4. 观察扫描进度 5. 等待扫描完成 6. 查看保护历史记录 7. 打开事件查看器 8. 导航至： 应用程序和服务日志 → Microsoft → Windows → Windows Defender → Operational 9. 查看生成的 Defender 事件 10. 记录发现 # 观察到的事件 ID | 事件 ID | 含义 | |----------|---------| | 1000 | 扫描已启动 | | 1001 | 扫描已完成 | | 1002 | 检测到威胁（如适用） | | 2000 | 签名更新 | | 5007 | Defender 配置已更改 | # 关键发现 - Defender 成功完成了快速扫描。 - 未检测到威胁。 - 扫描事件已成功记录。 - 保护历史记录与操作日志条目匹配。 - 事件查看器提供了详细的扫描元数据，包括扫描 ID、扫描类型、扫描时间和用户。 # 展示技能 - Microsoft Defender Antivirus - Windows 安全中心 - Windows 事件查看器 - Defender 操作日志 - 事件日志分析 - 威胁调查 - 安全监控 - SOC 调查工作流 ## 学习成果 本实验演示了 SOC 分析师如何使用原生 Windows 安全遥测和操作日志来验证 Microsoft Defender 活动，而无需使用 Microsoft Defender for Endpoint 或 Microsoft Sentinel。

标签：SOC分析, Windows Defender, 事件分析, 子域名变形, 安全实验环境, 安全运营, 扫描框架, 无线安全