abhinavkishor9/wazuh-sysmon-network-connection-monitoring
GitHub: abhinavkishor9/wazuh-sysmon-network-connection-monitoring
基于 Sysmon 和 Wazuh 的 SOC 检测实验项目,演示出站网络连接监控与威胁狩猎的完整调查工作流。
Stars: 0 | Forks: 0
# wazuh-sysmon-网络连接监控
## 概述
本实验演示了如何使用 Sysmon Event ID 3 监控出站网络连接,并在 Wazuh Threat Hunting 仪表板中调查生成的遥测数据。
目的是模拟合法的 HTTPS 流量,验证 Sysmon 是否捕获了网络活动,并确认 Wazuh 是否成功接收并显示相应的事件以供调查。
## 实验目标
- 生成出站 HTTPS 网络流量
- 捕获 Sysmon 网络连接事件 (Event ID 3)
- 验证 Wazuh 中的事件收集
- 执行 Threat Hunting 搜索
- 调查网络元数据
- 将活动映射到 MITRE ATT&CK
## 使用的技术
- Wazuh SIEM
- Sysmon
- Windows 11
- PowerShell
- Windows Event Viewer
## 实验环境
| 组件 | 值 |
|-----------|-------|
| 操作系统 | Windows 11 |
| SIEM | Wazuh |
| 端点监控 | Sysmon |
| Shell | PowerShell |
| 事件源 | Microsoft-Windows-Sysmon |
## MITRE ATT&CK 映射
| 技术 | ID |
|-----------|----|
| Application Layer Protocol | T1071 |
| Web Protocols | T1071.001 |
| Network Service Discovery (Observation) | T1046 |
## 实验步骤
### 步骤 1
验证 Sysmon 服务
```
Get-Service Sysmon64
```
### 步骤 2
验证 Wazuh Agent
```
Get-Service WazuhSvc
```
### 步骤 3
生成 HTTPS 流量
```
Invoke-WebRequest https://example.com
```
### 步骤 4
验证 TCP 连接性
```
Test-NetConnection example.com -Port 443
```
### 步骤 5
查看最近的 Sysmon 网络连接事件
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[(EventID=3)]]" -MaxEvents 20
```
### 步骤 6
过滤 HTTPS 流量
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[(EventID=3)]]" -MaxEvents 50 | Where-Object {$_.Message -match "443"}
```
### 步骤 7
在 Wazuh Threat Hunting 中搜索
搜索:
```
data.win.system.eventID:3
```
或
```
data.win.eventdata.destinationPort:443
```
### 步骤 8
查看事件详情
调查:
- Process Image
- Source IP
- Destination IP
- Destination Port
- 协议
- Process ID
- 用户
- Timestamp
## 检测总结
| 事件 |
|------|
| Sysmon Event ID 3 |
| 出站 HTTPS 连接 |
| Destination Port 443 |
| 网络遥测数据已成功记录 |
| 事件已被 Wazuh 成功接收 |
## 学习成果
- 了解 Sysmon Event ID 3
- 监控出站 HTTPS 流量
- 使用 Wazuh 执行 Threat Hunting
- 调查网络遥测数据
- 将端点活动与 SIEM 数据进行关联
- 练习 SOC 调查工作流
标签:AI合规, IP 地址批量处理, 安全实验, 安全运营, 扫描框架, 插件系统, 端点监控