st4kd/windows-attack-detection-lab

GitHub: st4kd/windows-attack-detection-lab

一个 Windows 安全检测工程实验项目,利用 Sysmon 和 Splunk 构建监控环境,模拟攻击活动并开发检测规则。

Stars: 0 | Forks: 0

# Windows 攻击检测实验室 ## 概述 本项目演示了如何使用 Sysmon 和 Splunk 创建和调查模拟的 Windows 攻击活动。 目标是生成真实的安全遥测数据,开发检测规则,调查可疑活动,并使用结构化的事件响应方法记录调查结果。 ## 目标 - 构建 Windows 安全监控实验室 - 配置 Sysmon 日志记录 - 将 Windows 遥测数据接入 Splunk - 生成安全的模拟攻击活动 - 编写检测查询 - 调查可疑的进程和命令活动 - 将检测映射到 MITRE ATT&CK ## 计划的检测场景 - 可疑的 PowerShell 执行 - 编码的 PowerShell 命令 - 可疑的进程关系 - 凭据访问指标 - 持久化活动 ## 实验室架构 架构图即将推出。 ## 工具 - Windows - Sysmon - Splunk - PowerShell - MITRE ATT&CK ## 项目状态 🚧 进行中
标签:AI合规, DNS 反向解析, Sysmon, 安全运营, 扫描框架