abhinavkishor9/wazuh-sysmon-encoded-powershell-detection

GitHub: abhinavkishor9/wazuh-sysmon-encoded-powershell-detection

基于 Sysmon Event ID 1 与 Wazuh Threat Hunting 检测 Base64 编码 PowerShell 执行行为的安全实验项目。

Stars: 0 | Forks: 0

# Wazuh + Sysmon 实验 10 # 检测编码的 PowerShell 执行 ## 目标 本实验演示了 Sysmon 和 Wazuh 如何检测使用 **-EncodedCommand** 参数执行的 PowerShell 进程。 攻击者经常使用 Base64 编码的 PowerShell 命令,以对防御者隐藏恶意活动。 目标是安全地生成此活动、收集遥测数据、调查事件,并理解为何该行为被视为可疑。 ## MITRE ATT&CK 技术: T1059.001 – PowerShell 战术: Execution ## 实验环境 Windows 11 Sysmon Wazuh Agent Wazuh Manager PowerShell ## 场景 用户使用 **-EncodedCommand** 参数启动 PowerShell。 Sysmon 记录完整的进程创建事件。 Wazuh 接收 Sysmon 日志。 SOC 分析员进行调查: - 进程创建 - 父进程 - 命令行 - 编码命令 - 用户上下文 - 进程哈希 ## 使用的命令 创建编码命令: ``` $Command = "Write-Output 'Hello Wazuh'" $Encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($Command)) ``` 执行: ``` powershell.exe -EncodedCommand $Encoded ``` 验证 Sysmon Event ID 1: ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=1)]]" ` -MaxEvents 50 | Where-Object {$_.Message -match "EncodedCommand"} ``` ## 调查步骤 1. 执行编码的 PowerShell 2. 验证命令是否成功执行 3. 确认 Sysmon Event ID 1 4. 打开 Wazuh Threat Hunting 5. 搜索: ``` data.win.eventdata.commandLine:*EncodedCommand* ``` 6. 审查: - 父进程 - 进程映像 - 命令行 - 用户 - 哈希 - 当前目录 ## 检测 Sysmon Event ID Event ID 1 进程创建 关注字段 CommandLine 检测指标 EncodedCommand ## MITRE 映射 Execution T1059.001 PowerShell ## 学习成果 ✔ 进程创建遥测 ✔ 编码 PowerShell 检测 ✔ 父子进程分析 ✔ 命令行追踪 ✔ Wazuh Threat Hunting ✔ MITRE ATT&CK 映射
标签:AI合规, OpenCanary, Sysmon, Wazuh, 安全运营, 扫描框架, 网络安全, 隐私保护