abhinavkishor9/wazuh-threat-hunting-lab13-process-access-detection
GitHub: abhinavkishor9/wazuh-threat-hunting-lab13-process-access-detection
基于 Sysmon Event ID 10 与 Wazuh SIEM 的威胁狩猎实验,用于检测和分析 Windows 进程间访问行为以发现凭证窃取等攻击活动。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab13-process-access-detection
## 概述
本实验演示了如何使用 Sysmon Event ID 10 和 Wazuh SIEM 来检测和调查 Windows Process Access 活动。
当一个进程尝试打开或与另一个进程交互时,就会发生 Process Access 事件。尽管其中许多事件是合法的,但攻击者通常会滥用此行为来访问敏感进程(例如 **lsass.exe**)以进行凭证转储。
本实验的目的是生成 Process Access 活动,验证 Sysmon 日志记录,在 Wazuh 中调查该事件,并了解 SOC 分析师如何识别潜在的恶意进程交互。
## 实验目的
- 验证 Sysmon 和 Wazuh 服务
- 生成 Process Access 活动
- 捕获 Sysmon Event ID 10
- 在 Wazuh 中调查 Process Access 事件
- 分析源进程和目标进程
- 审查 GrantedAccess 权限
- 将发现映射到 MITRE ATT&CK
## 实验环境
主机
- Windows 11
监控
- Sysmon
- Wazuh Agent
- Wazuh Manager
工具
- PowerShell
- Process Explorer (Sysinternals)
## MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---------|-----------|----|
| Credential Access | OS Credential Dumping | T1003 |
| Defense Evasion | Process Injection (相关) | T1055 |
## 实验步骤
### 1. 验证服务
```
Get-Service Sysmon64
Get-Service WazuhSvc
```
### 2. 生成 Process Access 活动
以管理员身份启动 **Process Explorer**。
让它枚举正在运行的进程大约 30–60 秒。
### 3. 验证 Sysmon Event ID 10
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" `
-FilterXPath "*[System[(EventID=10)]]" `
-MaxEvents 20
```
### 4. 查看完整事件
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" `
-FilterXPath "*[System[(EventID=10)]]" `
-MaxEvents 1 |
Format-List
```
### 5. 在 Wazuh 中调查
搜索:
```
data.win.system.eventID:10
```
审查:
- Source Image
- Target Image
- GrantedAccess
- User
- Rule Description
- CallTrace
- Timestamp
## 检测逻辑
每当一个进程以特定的访问权限打开另一个进程时,Sysmon 就会生成 Event ID 10。
Wazuh 会收集该事件,并将其提供给威胁狩猎和调查使用。
## 观察到的指标
- Source Process
- Target Process
- Granted Access
- User
- Call Trace
- Process GUID
- Process ID
- Timestamp
## MITRE ATT&CK 总结
技术:
- T1003 – OS Credential Dumping
- T1055 – Process Injection (相关)
## 学习成果
完成本实验后,您将能够:
- 检测 Process Access 活动
- 调查 Sysmon Event ID 10
- 分析 GrantedAccess 权限
- 识别源进程和目标进程
- 在 Wazuh 中狩猎端点遥测数据
- 将活动映射到 MITRE ATT&CK
标签:AI合规