st4kd/windows-attack-detection-lab
GitHub: st4kd/windows-attack-detection-lab
一个 Windows 安全检测工程实验项目,利用 Sysmon 和 Splunk 构建监控环境,模拟攻击活动并开发检测规则。
Stars: 0 | Forks: 0
# Windows 攻击检测实验室
## 概述
本项目演示了如何使用 Sysmon 和 Splunk 创建和调查模拟的 Windows 攻击活动。
目标是生成真实的安全遥测数据,开发检测规则,调查可疑活动,并使用结构化的事件响应方法记录调查结果。
## 目标
- 构建 Windows 安全监控实验室
- 配置 Sysmon 日志记录
- 将 Windows 遥测数据接入 Splunk
- 生成安全的模拟攻击活动
- 编写检测查询
- 调查可疑的进程和命令活动
- 将检测映射到 MITRE ATT&CK
## 计划的检测场景
- 可疑的 PowerShell 执行
- 编码的 PowerShell 命令
- 可疑的进程关系
- 凭据访问指标
- 持久化活动
## 实验室架构
架构图即将推出。
## 工具
- Windows
- Sysmon
- Splunk
- PowerShell
- MITRE ATT&CK
## 项目状态
🚧 进行中
标签:AI合规, DNS 反向解析, Sysmon, 安全运营, 扫描框架