abhinavkishor9/wazuh-threat-hunting-certutil-process-creation
GitHub: abhinavkishor9/wazuh-threat-hunting-certutil-process-creation
结合 Wazuh 和 Sysmon 模拟并调查 certutil.exe 进程创建事件的威胁狩猎实验,演示完整的 SOC 端点检测与分析流程。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-certutil-process-creation
## 概述
本实验演示了如何结合使用 Wazuh Threat Hunting 和 Microsoft Sysmon 来检测可疑的 Windows 进程执行。
实验目标包括模拟 **certutil.exe** 的执行,验证 Sysmon 是否生成了 Event ID 1(进程创建),并使用 Wazuh 对该事件进行调查。
本实验模拟了涉及 LOLBins(Living-off-the-Land Binaries)的常见 SOC 调查场景。
## 实验环境
主机
- Windows 11
- Wazuh Agent
- Microsoft Sysmon
- PowerShell
服务器
- Wazuh Manager
- Wazuh Dashboard
## MITRE ATT&CK
技术:
T1218 - System Binary Proxy Execution
工具:
certutil.exe
## 目标
生成 Sysmon 进程创建事件。
验证:
- Sysmon 记录了该事件
- Wazuh Agent 正在运行
- Wazuh 接收到该事件
- 可以从 Threat Hunting 中调查该事件
## 执行步骤
### 1. 验证 Wazuh Agent
```
Get-Service WazuhSvc
```
状态:
正在运行
### 2. 验证 Sysmon
```
Get-Service Sysmon64
```
状态:
正在运行
### 3. 生成活动
打开命令提示符
执行:
```
certutil.exe
```
这生成了一个 Sysmon 进程创建事件。
### 4. 验证 Sysmon 事件
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" `
-FilterXPath "*[System[(EventID=1)]]" `
-MaxEvents 5
```
观察到:
- Event ID 1
- 镜像:
```
C:\Windows\SysWOW64\certutil.exe
```
### 5. 调查 Wazuh
打开
Threat Hunting
查看了传入的事件。
验证了:
- Wazuh Agent 在线
- Sysmon 操作日志正在工作
- 事件可被搜索
## 检测逻辑
进程创建
↓
Sysmon Event ID 1
↓
Windows Event Log
↓
Wazuh Agent
↓
Wazuh Manager
↓
Threat Hunting
↓
SOC 调查
## 展示技能
- Windows 事件分析
- Sysmon
- 进程创建调查
- Threat Hunting
- Wazuh
- SOC 调查
- MITRE ATT&CK 映射
- Living-off-the-Land Binary 分析
## 结果
成功使用 certutil.exe 生成了 Sysmon 进程创建事件,验证了 Windows 日志记录,确认了 Wazuh Agent 的运行,并在 Wazuh Threat Hunting 中对该事件进行了调查。
标签:AI合规, PB级数据处理, SOC分析, Sysmon, Wazuh, 安全运维, 知识库安全