abhinavkishor9/wazuh-sysmon-encoded-powershell-detection
GitHub: abhinavkishor9/wazuh-sysmon-encoded-powershell-detection
基于 Sysmon Event ID 1 与 Wazuh Threat Hunting 检测 Base64 编码 PowerShell 执行行为的安全实验项目。
Stars: 0 | Forks: 0
# Wazuh + Sysmon 实验 10
# 检测编码的 PowerShell 执行
## 目标
本实验演示了 Sysmon 和 Wazuh 如何检测使用 **-EncodedCommand** 参数执行的 PowerShell 进程。
攻击者经常使用 Base64 编码的 PowerShell 命令,以对防御者隐藏恶意活动。
目标是安全地生成此活动、收集遥测数据、调查事件,并理解为何该行为被视为可疑。
## MITRE ATT&CK
技术:
T1059.001 – PowerShell
战术:
Execution
## 实验环境
Windows 11
Sysmon
Wazuh Agent
Wazuh Manager
PowerShell
## 场景
用户使用 **-EncodedCommand** 参数启动 PowerShell。
Sysmon 记录完整的进程创建事件。
Wazuh 接收 Sysmon 日志。
SOC 分析员进行调查:
- 进程创建
- 父进程
- 命令行
- 编码命令
- 用户上下文
- 进程哈希
## 使用的命令
创建编码命令:
```
$Command = "Write-Output 'Hello Wazuh'"
$Encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($Command))
```
执行:
```
powershell.exe -EncodedCommand $Encoded
```
验证 Sysmon Event ID 1:
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" `
-FilterXPath "*[System[(EventID=1)]]" `
-MaxEvents 50 |
Where-Object {$_.Message -match "EncodedCommand"}
```
## 调查步骤
1. 执行编码的 PowerShell
2. 验证命令是否成功执行
3. 确认 Sysmon Event ID 1
4. 打开 Wazuh Threat Hunting
5. 搜索:
```
data.win.eventdata.commandLine:*EncodedCommand*
```
6. 审查:
- 父进程
- 进程映像
- 命令行
- 用户
- 哈希
- 当前目录
## 检测
Sysmon Event ID
Event ID 1
进程创建
关注字段
CommandLine
检测指标
EncodedCommand
## MITRE 映射
Execution
T1059.001
PowerShell
## 学习成果
✔ 进程创建遥测
✔ 编码 PowerShell 检测
✔ 父子进程分析
✔ 命令行追踪
✔ Wazuh Threat Hunting
✔ MITRE ATT&CK 映射
标签:AI合规, OpenCanary, Sysmon, Wazuh, 安全运营, 扫描框架, 网络安全, 隐私保护