abhinavkishor9/wazuh-threat-hunting-lab13-process-access-detection

GitHub: abhinavkishor9/wazuh-threat-hunting-lab13-process-access-detection

基于 Sysmon Event ID 10 与 Wazuh SIEM 的威胁狩猎实验,用于检测和分析 Windows 进程间访问行为以发现凭证窃取等攻击活动。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab13-process-access-detection ## 概述 本实验演示了如何使用 Sysmon Event ID 10 和 Wazuh SIEM 来检测和调查 Windows Process Access 活动。 当一个进程尝试打开或与另一个进程交互时,就会发生 Process Access 事件。尽管其中许多事件是合法的,但攻击者通常会滥用此行为来访问敏感进程(例如 **lsass.exe**)以进行凭证转储。 本实验的目的是生成 Process Access 活动,验证 Sysmon 日志记录,在 Wazuh 中调查该事件,并了解 SOC 分析师如何识别潜在的恶意进程交互。 ## 实验目的 - 验证 Sysmon 和 Wazuh 服务 - 生成 Process Access 活动 - 捕获 Sysmon Event ID 10 - 在 Wazuh 中调查 Process Access 事件 - 分析源进程和目标进程 - 审查 GrantedAccess 权限 - 将发现映射到 MITRE ATT&CK ## 实验环境 主机 - Windows 11 监控 - Sysmon - Wazuh Agent - Wazuh Manager 工具 - PowerShell - Process Explorer (Sysinternals) ## MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---------|-----------|----| | Credential Access | OS Credential Dumping | T1003 | | Defense Evasion | Process Injection (相关) | T1055 | ## 实验步骤 ### 1. 验证服务 ``` Get-Service Sysmon64 Get-Service WazuhSvc ``` ### 2. 生成 Process Access 活动 以管理员身份启动 **Process Explorer**。 让它枚举正在运行的进程大约 30–60 秒。 ### 3. 验证 Sysmon Event ID 10 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=10)]]" ` -MaxEvents 20 ``` ### 4. 查看完整事件 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=10)]]" ` -MaxEvents 1 | Format-List ``` ### 5. 在 Wazuh 中调查 搜索: ``` data.win.system.eventID:10 ``` 审查: - Source Image - Target Image - GrantedAccess - User - Rule Description - CallTrace - Timestamp ## 检测逻辑 每当一个进程以特定的访问权限打开另一个进程时,Sysmon 就会生成 Event ID 10。 Wazuh 会收集该事件,并将其提供给威胁狩猎和调查使用。 ## 观察到的指标 - Source Process - Target Process - Granted Access - User - Call Trace - Process GUID - Process ID - Timestamp ## MITRE ATT&CK 总结 技术: - T1003 – OS Credential Dumping - T1055 – Process Injection (相关) ## 学习成果 完成本实验后,您将能够: - 检测 Process Access 活动 - 调查 Sysmon Event ID 10 - 分析 GrantedAccess 权限 - 识别源进程和目标进程 - 在 Wazuh 中狩猎端点遥测数据 - 将活动映射到 MITRE ATT&CK
标签:AI合规