abhinavkishor9/wazuh-threat-hunting-lab12-file-creation-detection
GitHub: abhinavkishor9/wazuh-threat-hunting-lab12-file-creation-detection
基于 Sysmon 和 Wazuh SIEM 的威胁狩猎实验,演示如何检测并分析 Windows 文件创建事件以提升安全监测能力。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab12-file-creation-detection
## 概述
本实验演示了如何使用 Sysmon Event ID 11 检测 Windows 文件创建活动,并在 Wazuh SIEM 中调查生成的遥测数据。
文件创建监控非常有价值,因为攻击者通常会在以下操作中创建文件:
- 投放恶意软件
- 保存 payload
- 创建脚本
- 写入勒索软件文件
- 建立持久性
目的是生成文件创建事件,验证 Sysmon 日志记录,并在 Wazuh Threat Hunting 中分析该事件。
## 实验目标
- 验证 Sysmon 和 Wazuh 服务
- 生成 Windows File Create 事件
- 捕获 Sysmon Event ID 11
- 在 Wazuh 中调查告警
- 分析事件字段
- 将发现映射到 MITRE ATT&CK
## 实验环境
主机
- Windows 11
监控
- Sysmon
- Wazuh Agent
- Wazuh Manager
PowerShell
- PowerShell 7
## MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---------|-----------|----|
| 防御规避 (Defense Evasion) | 伪装 (Masquerading) | T1036 |
| 命令和脚本解释器 (Command and Scripting Interpreter) | PowerShell | T1059.001 |
| 命令和脚本解释器 (Command and Scripting Interpreter) | Windows Command Shell | T1059.003 |
## 实验步骤
### 1. 验证服务
```
Get-Service Sysmon64
Get-Service WazuhSvc
```
### 2. 创建测试目录
```
New-Item -ItemType Directory C:\SOCLab -Force
```
### 3. 创建测试文件
```
"Hello from Sysmon Lab" | Out-File C:\SOCLab\TestFile.txt
```
### 4. 修改文件
```
Add-Content C:\SOCLab\TestFile.txt "Second line"
```
### 5. 验证 Sysmon Event ID 11
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" `
-FilterXPath "*[System[(EventID=11)]]" `
-MaxEvents 20
```
### 6. 在 Wazuh 中调查
搜索:
```
data.win.system.eventID:11
```
打开事件并查看:
- TargetFilename
- Image
- Process ID
- User
- CreationUtcTime
- Rule Description
### 7. 清理
```
Remove-Item C:\SOCLab -Recurse -Force
```
## 检测逻辑
Sysmon 会在每次创建文件时生成 Event ID 11。
Wazuh 收集 Sysmon 事件并将其存储,以用于威胁狩猎和调查。
## 观察到的指标
- 文件创建
- 父进程
- Image 路径
- 目标文件名
- 用户账户
- Process ID
- 创建时间戳
## MITRE ATT&CK 总结
技术:
- T1059.001 – PowerShell
- T1059.003 – Windows Command Shell
- T1036 – 伪装 (Masquerading)
## 学习成果
完成本实验后,您将能够:
- 检测文件创建活动
- 调查 Sysmon Event ID 11
- 在 Wazuh 中狩猎 Windows 遥测数据
- 关联端点事件
- 分析进程和文件元数据
标签:AI合规, DNS 解析, OpenCanary, Sysmon, Wazuh, 安全实验, 管理员页面发现