abhinavkishor9/wazuh-lab-07-windows-defender-detection

GitHub: abhinavkishor9/wazuh-lab-07-windows-defender-detection

该项目演示了如何使用 Wazuh、Sysmon 和 PowerShell 构建 Windows Defender 事件的端到端检测与 SOC 调查流程。

Stars: 0 | Forks: 0

# wazuh-lab-07-windows-defender-detection ## 概述 本实验演示了如何在 Wazuh 中收集、转发和调查 Windows Defender Antivirus 事件。 目标是了解 Windows Defender 生成的 endpoint 安全事件如何出现在 SIEM 中,以及分析师如何使用 Windows Event Logs、PowerShell 和 Wazuh Threat Hunting dashboard 来验证检测。 ## 目标 - 生成 Windows Defender 事件 - 验证 Defender 操作日志 - 确认 Wazuh agent 收集 - 调查 Wazuh 内的警报 - 将 endpoint 日志与 SIEM 事件进行关联 - 练习 SOC 调查工作流 ## 实验环境 | 组件 | 版本 | |-----------|----------| | Windows 11 | Endpoint | | Wazuh Manager | 4.x | | Wazuh Agent | 已安装 | | Sysmon | 已安装 | | Windows Defender | 已启用 | | PowerShell | Administrator | ## MITRE ATT&CK 尽管 Windows Defender 事件属于防御性遥测数据,但它们通常与攻击者的执行技术相关,例如: - T1059 – Command and Scripting Interpreter - T1204 – User Execution - T1562 – Impair Defenses(企图绕过 AV) - T1105 – Ingress Tool Transfer ## 实验工作流 1. 验证 Defender 服务 2. 生成 Defender 活动 3. 收集 Windows Event Logs 4. 确认 Wazuh 摄取 5. 捕捉 Defender 事件 6. 审查事件元数据 7. 验证时间戳 8. 记录调查过程 ## PowerShell 验证 检查 Defender 事件: ``` Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" -MaxEvents 20 ``` 检查 Wazuh 服务: ``` Get-Service WazuhSvc ``` 检查 Sysmon: ``` Get-Service Sysmon64 ``` ## 检测验证 以下内容已成功验证: - Windows Defender 生成的事件 - Wazuh 收集的 endpoint 日志 - Threat Hunting 中出现的事件 - 与 endpoint 日志匹配的事件元数据 - 已完成的时间线关联 ## 展示技能 - Windows Defender 监控 - Endpoint 遥测 - Wazuh Threat Hunting - Windows Event Logs - SOC 调查 - 事件关联 - 检测验证 ## 结果 成功展示了从 endpoint 生成到 Wazuh 摄取再到分析师调查的 Windows Defender 事件的端到端可见性。
标签:AI合规, Wazuh, 安全实验环境, 安全运营, 扫描框架, 搜索语句(dork), 终端安全, 网络信息收集