abhinavkishor9/wazuh-sysmon-network-connection-monitoring

GitHub: abhinavkishor9/wazuh-sysmon-network-connection-monitoring

基于 Sysmon 和 Wazuh 的 SOC 检测实验项目,演示出站网络连接监控与威胁狩猎的完整调查工作流。

Stars: 0 | Forks: 0

# wazuh-sysmon-网络连接监控 ## 概述 本实验演示了如何使用 Sysmon Event ID 3 监控出站网络连接,并在 Wazuh Threat Hunting 仪表板中调查生成的遥测数据。 目的是模拟合法的 HTTPS 流量,验证 Sysmon 是否捕获了网络活动,并确认 Wazuh 是否成功接收并显示相应的事件以供调查。 ## 实验目标 - 生成出站 HTTPS 网络流量 - 捕获 Sysmon 网络连接事件 (Event ID 3) - 验证 Wazuh 中的事件收集 - 执行 Threat Hunting 搜索 - 调查网络元数据 - 将活动映射到 MITRE ATT&CK ## 使用的技术 - Wazuh SIEM - Sysmon - Windows 11 - PowerShell - Windows Event Viewer ## 实验环境 | 组件 | 值 | |-----------|-------| | 操作系统 | Windows 11 | | SIEM | Wazuh | | 端点监控 | Sysmon | | Shell | PowerShell | | 事件源 | Microsoft-Windows-Sysmon | ## MITRE ATT&CK 映射 | 技术 | ID | |-----------|----| | Application Layer Protocol | T1071 | | Web Protocols | T1071.001 | | Network Service Discovery (Observation) | T1046 | ## 实验步骤 ### 步骤 1 验证 Sysmon 服务 ``` Get-Service Sysmon64 ``` ### 步骤 2 验证 Wazuh Agent ``` Get-Service WazuhSvc ``` ### 步骤 3 生成 HTTPS 流量 ``` Invoke-WebRequest https://example.com ``` ### 步骤 4 验证 TCP 连接性 ``` Test-NetConnection example.com -Port 443 ``` ### 步骤 5 查看最近的 Sysmon 网络连接事件 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[(EventID=3)]]" -MaxEvents 20 ``` ### 步骤 6 过滤 HTTPS 流量 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[(EventID=3)]]" -MaxEvents 50 | Where-Object {$_.Message -match "443"} ``` ### 步骤 7 在 Wazuh Threat Hunting 中搜索 搜索: ``` data.win.system.eventID:3 ``` 或 ``` data.win.eventdata.destinationPort:443 ``` ### 步骤 8 查看事件详情 调查: - Process Image - Source IP - Destination IP - Destination Port - 协议 - Process ID - 用户 - Timestamp ## 检测总结 | 事件 | |------| | Sysmon Event ID 3 | | 出站 HTTPS 连接 | | Destination Port 443 | | 网络遥测数据已成功记录 | | 事件已被 Wazuh 成功接收 | ## 学习成果 - 了解 Sysmon Event ID 3 - 监控出站 HTTPS 流量 - 使用 Wazuh 执行 Threat Hunting - 调查网络遥测数据 - 将端点活动与 SIEM 数据进行关联 - 练习 SOC 调查工作流
标签:AI合规, IP 地址批量处理, 安全实验, 安全运营, 扫描框架, 插件系统, 端点监控