abhinavkishor9/wazuh-lab-07-windows-defender-detection
GitHub: abhinavkishor9/wazuh-lab-07-windows-defender-detection
该项目演示了如何使用 Wazuh、Sysmon 和 PowerShell 构建 Windows Defender 事件的端到端检测与 SOC 调查流程。
Stars: 0 | Forks: 0
# wazuh-lab-07-windows-defender-detection
## 概述
本实验演示了如何在 Wazuh 中收集、转发和调查 Windows Defender Antivirus 事件。
目标是了解 Windows Defender 生成的 endpoint 安全事件如何出现在 SIEM 中,以及分析师如何使用 Windows Event Logs、PowerShell 和 Wazuh Threat Hunting dashboard 来验证检测。
## 目标
- 生成 Windows Defender 事件
- 验证 Defender 操作日志
- 确认 Wazuh agent 收集
- 调查 Wazuh 内的警报
- 将 endpoint 日志与 SIEM 事件进行关联
- 练习 SOC 调查工作流
## 实验环境
| 组件 | 版本 |
|-----------|----------|
| Windows 11 | Endpoint |
| Wazuh Manager | 4.x |
| Wazuh Agent | 已安装 |
| Sysmon | 已安装 |
| Windows Defender | 已启用 |
| PowerShell | Administrator |
## MITRE ATT&CK
尽管 Windows Defender 事件属于防御性遥测数据,但它们通常与攻击者的执行技术相关,例如:
- T1059 – Command and Scripting Interpreter
- T1204 – User Execution
- T1562 – Impair Defenses(企图绕过 AV)
- T1105 – Ingress Tool Transfer
## 实验工作流
1. 验证 Defender 服务
2. 生成 Defender 活动
3. 收集 Windows Event Logs
4. 确认 Wazuh 摄取
5. 捕捉 Defender 事件
6. 审查事件元数据
7. 验证时间戳
8. 记录调查过程
## PowerShell 验证
检查 Defender 事件:
```
Get-WinEvent -LogName "Microsoft-Windows-Windows Defender/Operational" -MaxEvents 20
```
检查 Wazuh 服务:
```
Get-Service WazuhSvc
```
检查 Sysmon:
```
Get-Service Sysmon64
```
## 检测验证
以下内容已成功验证:
- Windows Defender 生成的事件
- Wazuh 收集的 endpoint 日志
- Threat Hunting 中出现的事件
- 与 endpoint 日志匹配的事件元数据
- 已完成的时间线关联
## 展示技能
- Windows Defender 监控
- Endpoint 遥测
- Wazuh Threat Hunting
- Windows Event Logs
- SOC 调查
- 事件关联
- 检测验证
## 结果
成功展示了从 endpoint 生成到 Wazuh 摄取再到分析师调查的 Windows Defender 事件的端到端可见性。
标签:AI合规, Wazuh, 安全实验环境, 安全运营, 扫描框架, 搜索语句(dork), 终端安全, 网络信息收集