kiprotich-rop/windows-endpoint-threat-hunting-sysmon
GitHub: kiprotich-rop/windows-endpoint-threat-hunting-sysmon
该项目是一个使用 Sysmon 进行 Windows 端点威胁狩猎的实战演练,演示了进程与文件创建事件的分析、父子进程关系重建以及 MITRE ATT&CK 映射的完整 SOC 调查流程。
Stars: 1 | Forks: 0
# 使用 Sysmon 进行 Windows 端点威胁狩猎
## 项目概述
本项目演示了使用 Microsoft Sysmon 进行端点威胁狩猎,以调查 Windows 进程创建和文件创建事件。调查的重点是重建进程执行过程,分析父子进程关系,并评估观察到的活动是恶意的还是良性的。
使用 Sysmon 事件 ID 1(进程创建)和事件 ID 11(文件创建),对端点遥测数据进行了分析,以识别用户活动,调查计划任务的创建,并使用 SOC 分析师的方法论记录发现。
调查得出的结论是,观察到的活动是合法的,与在受控网络安全家庭实验室中执行的授权用户操作一致。
## 目标
* 调查 Sysmon 进程创建事件(事件 ID 1)
* 分析文件创建事件(事件 ID 11)
* 重建父子进程关系
* 调查计划任务创建
* 将发现映射到 MITRE ATT&CK 框架
* 撰写专业的事件调查报告
## 实验环境
| 组件 | 详情 |
| ---------------- | -------------------------- |
| 操作系统 | Windows 10 虚拟机 |
| Hypervisor | Oracle VirtualBox |
| 监控工具 | Sysmon |
| 分析工具 | Windows Event Viewer |
| 辅助虚拟机 | Kali Linux |
## 使用工具
* Sysmon
* Windows Event Viewer
* Windows 安全日志
* PowerShell
* 命令提示符
* Oracle VirtualBox
* GitHub
## 调查的事件
### 事件 ID 1 – 进程创建
调查的进程:
* `powershell.exe`
* `whoami.exe`
* `hostname.exe`
* `ipconfig.exe`
* `cmd.exe`
### 事件 ID 11 – 文件创建
调查的文件创建事件:
* `svchost.exe`
* 计划任务:
`C:\Windows\System32\Tasks\GoogleUserPEH`
## 进程树
```
explorer.exe
│
▼
powershell.exe
├── whoami.exe
├── hostname.exe
├── ipconfig.exe
└── cmd.exe
└── dir
```
## MITRE ATT&CK 映射
| 技术 | 描述 |
| --------- | ------------------------------ |
| T1059.001 | PowerShell |
| T1059.003 | Windows 命令行 |
| T1033 | 系统所有者/用户发现 |
| T1082 | 系统信息发现 |
| T1016 | 系统网络配置发现 |
| T1053.005 | 计划任务/作业 |
## 展示的技能
* 端点威胁狩猎
* Windows 事件日志分析
* Sysmon 调查
* 进程树分析
* 父子进程关联
* 文件创建分析
* MITRE ATT&CK 映射
* 事件调查
* 技术文档编写
## 仓库结构
```
windows-endpoint-threat-hunting-sysmon/
│
├── README.md
├── LICENSE
├── .gitignore
├── Report/
│ └── Windows_Endpoint_Threat_Hunting_Report.pdf
├── Findings/
│ └── findings.md
├── Logs/
│ └── Sysmon_Operational.evtx
└── Screenshots/
```
## 项目文档
📄 **事件调查报告**
* [Windows 端点威胁狩猎报告](./Report/Windows_Endpoint_Threat_Hunting_Report.pdf)
## 结论
本项目演示了使用 Microsoft Sysmon 进行实用端点监控和威胁狩猎的技术。通过分析进程创建和文件创建事件、关联父子进程关系以及调查计划任务活动,本项目展示了 SOC 分析师在 Windows 环境中执行端点调查的工作流程。
标签:AI合规, Sysmon, 安全运营, 扫描框架, 端点安全, 补丁管理