abhinavkishor9/wazuh-threat-hunting-lab12-file-creation-detection

GitHub: abhinavkishor9/wazuh-threat-hunting-lab12-file-creation-detection

基于 Sysmon 和 Wazuh SIEM 的威胁狩猎实验,演示如何检测并分析 Windows 文件创建事件以提升安全监测能力。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab12-file-creation-detection ## 概述 本实验演示了如何使用 Sysmon Event ID 11 检测 Windows 文件创建活动,并在 Wazuh SIEM 中调查生成的遥测数据。 文件创建监控非常有价值,因为攻击者通常会在以下操作中创建文件: - 投放恶意软件 - 保存 payload - 创建脚本 - 写入勒索软件文件 - 建立持久性 目的是生成文件创建事件,验证 Sysmon 日志记录,并在 Wazuh Threat Hunting 中分析该事件。 ## 实验目标 - 验证 Sysmon 和 Wazuh 服务 - 生成 Windows File Create 事件 - 捕获 Sysmon Event ID 11 - 在 Wazuh 中调查告警 - 分析事件字段 - 将发现映射到 MITRE ATT&CK ## 实验环境 主机 - Windows 11 监控 - Sysmon - Wazuh Agent - Wazuh Manager PowerShell - PowerShell 7 ## MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---------|-----------|----| | 防御规避 (Defense Evasion) | 伪装 (Masquerading) | T1036 | | 命令和脚本解释器 (Command and Scripting Interpreter) | PowerShell | T1059.001 | | 命令和脚本解释器 (Command and Scripting Interpreter) | Windows Command Shell | T1059.003 | ## 实验步骤 ### 1. 验证服务 ``` Get-Service Sysmon64 Get-Service WazuhSvc ``` ### 2. 创建测试目录 ``` New-Item -ItemType Directory C:\SOCLab -Force ``` ### 3. 创建测试文件 ``` "Hello from Sysmon Lab" | Out-File C:\SOCLab\TestFile.txt ``` ### 4. 修改文件 ``` Add-Content C:\SOCLab\TestFile.txt "Second line" ``` ### 5. 验证 Sysmon Event ID 11 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=11)]]" ` -MaxEvents 20 ``` ### 6. 在 Wazuh 中调查 搜索: ``` data.win.system.eventID:11 ``` 打开事件并查看: - TargetFilename - Image - Process ID - User - CreationUtcTime - Rule Description ### 7. 清理 ``` Remove-Item C:\SOCLab -Recurse -Force ``` ## 检测逻辑 Sysmon 会在每次创建文件时生成 Event ID 11。 Wazuh 收集 Sysmon 事件并将其存储,以用于威胁狩猎和调查。 ## 观察到的指标 - 文件创建 - 父进程 - Image 路径 - 目标文件名 - 用户账户 - Process ID - 创建时间戳 ## MITRE ATT&CK 总结 技术: - T1059.001 – PowerShell - T1059.003 – Windows Command Shell - T1036 – 伪装 (Masquerading) ## 学习成果 完成本实验后,您将能够: - 检测文件创建活动 - 调查 Sysmon Event ID 11 - 在 Wazuh 中狩猎 Windows 遥测数据 - 关联端点事件 - 分析进程和文件元数据
标签:AI合规, DNS 解析, OpenCanary, Sysmon, Wazuh, 安全实验, 管理员页面发现