kiprotich-rop/windows-endpoint-threat-hunting-sysmon

GitHub: kiprotich-rop/windows-endpoint-threat-hunting-sysmon

该项目是一个使用 Sysmon 进行 Windows 端点威胁狩猎的实战演练,演示了进程与文件创建事件的分析、父子进程关系重建以及 MITRE ATT&CK 映射的完整 SOC 调查流程。

Stars: 1 | Forks: 0

# 使用 Sysmon 进行 Windows 端点威胁狩猎 ## 项目概述 本项目演示了使用 Microsoft Sysmon 进行端点威胁狩猎,以调查 Windows 进程创建和文件创建事件。调查的重点是重建进程执行过程,分析父子进程关系,并评估观察到的活动是恶意的还是良性的。 使用 Sysmon 事件 ID 1(进程创建)和事件 ID 11(文件创建),对端点遥测数据进行了分析,以识别用户活动,调查计划任务的创建,并使用 SOC 分析师的方法论记录发现。 调查得出的结论是,观察到的活动是合法的,与在受控网络安全家庭实验室中执行的授权用户操作一致。 ## 目标 * 调查 Sysmon 进程创建事件(事件 ID 1) * 分析文件创建事件(事件 ID 11) * 重建父子进程关系 * 调查计划任务创建 * 将发现映射到 MITRE ATT&CK 框架 * 撰写专业的事件调查报告 ## 实验环境 | 组件 | 详情 | | ---------------- | -------------------------- | | 操作系统 | Windows 10 虚拟机 | | Hypervisor | Oracle VirtualBox | | 监控工具 | Sysmon | | 分析工具 | Windows Event Viewer | | 辅助虚拟机 | Kali Linux | ## 使用工具 * Sysmon * Windows Event Viewer * Windows 安全日志 * PowerShell * 命令提示符 * Oracle VirtualBox * GitHub ## 调查的事件 ### 事件 ID 1 – 进程创建 调查的进程: * `powershell.exe` * `whoami.exe` * `hostname.exe` * `ipconfig.exe` * `cmd.exe` ### 事件 ID 11 – 文件创建 调查的文件创建事件: * `svchost.exe` * 计划任务: `C:\Windows\System32\Tasks\GoogleUserPEH` ## 进程树 ``` explorer.exe │ ▼ powershell.exe ├── whoami.exe ├── hostname.exe ├── ipconfig.exe └── cmd.exe └── dir ``` ## MITRE ATT&CK 映射 | 技术 | 描述 | | --------- | ------------------------------ | | T1059.001 | PowerShell | | T1059.003 | Windows 命令行 | | T1033 | 系统所有者/用户发现 | | T1082 | 系统信息发现 | | T1016 | 系统网络配置发现 | | T1053.005 | 计划任务/作业 | ## 展示的技能 * 端点威胁狩猎 * Windows 事件日志分析 * Sysmon 调查 * 进程树分析 * 父子进程关联 * 文件创建分析 * MITRE ATT&CK 映射 * 事件调查 * 技术文档编写 ## 仓库结构 ``` windows-endpoint-threat-hunting-sysmon/ │ ├── README.md ├── LICENSE ├── .gitignore ├── Report/ │ └── Windows_Endpoint_Threat_Hunting_Report.pdf ├── Findings/ │ └── findings.md ├── Logs/ │ └── Sysmon_Operational.evtx └── Screenshots/ ``` ## 项目文档 📄 **事件调查报告** * [Windows 端点威胁狩猎报告](./Report/Windows_Endpoint_Threat_Hunting_Report.pdf) ## 结论 本项目演示了使用 Microsoft Sysmon 进行实用端点监控和威胁狩猎的技术。通过分析进程创建和文件创建事件、关联父子进程关系以及调查计划任务活动,本项目展示了 SOC 分析师在 Windows 环境中执行端点调查的工作流程。
标签:AI合规, Sysmon, 安全运营, 扫描框架, 端点安全, 补丁管理