abhinavkishor9/wazuh-threat-hunting-certutil-process-creation

GitHub: abhinavkishor9/wazuh-threat-hunting-certutil-process-creation

结合 Wazuh 和 Sysmon 模拟并调查 certutil.exe 进程创建事件的威胁狩猎实验,演示完整的 SOC 端点检测与分析流程。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-certutil-process-creation ## 概述 本实验演示了如何结合使用 Wazuh Threat Hunting 和 Microsoft Sysmon 来检测可疑的 Windows 进程执行。 实验目标包括模拟 **certutil.exe** 的执行,验证 Sysmon 是否生成了 Event ID 1(进程创建),并使用 Wazuh 对该事件进行调查。 本实验模拟了涉及 LOLBins(Living-off-the-Land Binaries)的常见 SOC 调查场景。 ## 实验环境 主机 - Windows 11 - Wazuh Agent - Microsoft Sysmon - PowerShell 服务器 - Wazuh Manager - Wazuh Dashboard ## MITRE ATT&CK 技术: T1218 - System Binary Proxy Execution 工具: certutil.exe ## 目标 生成 Sysmon 进程创建事件。 验证: - Sysmon 记录了该事件 - Wazuh Agent 正在运行 - Wazuh 接收到该事件 - 可以从 Threat Hunting 中调查该事件 ## 执行步骤 ### 1. 验证 Wazuh Agent ``` Get-Service WazuhSvc ``` 状态: 正在运行 ### 2. 验证 Sysmon ``` Get-Service Sysmon64 ``` 状态: 正在运行 ### 3. 生成活动 打开命令提示符 执行: ``` certutil.exe ``` 这生成了一个 Sysmon 进程创建事件。 ### 4. 验证 Sysmon 事件 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=1)]]" ` -MaxEvents 5 ``` 观察到: - Event ID 1 - 镜像: ``` C:\Windows\SysWOW64\certutil.exe ``` ### 5. 调查 Wazuh 打开 Threat Hunting 查看了传入的事件。 验证了: - Wazuh Agent 在线 - Sysmon 操作日志正在工作 - 事件可被搜索 ## 检测逻辑 进程创建 ↓ Sysmon Event ID 1 ↓ Windows Event Log ↓ Wazuh Agent ↓ Wazuh Manager ↓ Threat Hunting ↓ SOC 调查 ## 展示技能 - Windows 事件分析 - Sysmon - 进程创建调查 - Threat Hunting - Wazuh - SOC 调查 - MITRE ATT&CK 映射 - Living-off-the-Land Binary 分析 ## 结果 成功使用 certutil.exe 生成了 Sysmon 进程创建事件,验证了 Windows 日志记录,确认了 Wazuh Agent 的运行,并在 Wazuh Threat Hunting 中对该事件进行了调查。
标签:AI合规, PB级数据处理, SOC分析, Sysmon, Wazuh, 安全运维, 知识库安全