abhinavkishor9/wazuh-threat-hunting-lab14-process-access-detection

GitHub: abhinavkishor9/wazuh-threat-hunting-lab14-process-access-detection

该项目是一个使用 Sysmon 和 Wazuh SIEM 检测并调查 Windows 进程访问活动的威胁狩猎实验,帮助安全分析师识别凭据访问和进程注入等可疑行为。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab14-process-access-detection ## 概述 本实验演示了如何使用 Sysmon Event ID 10 和 Wazuh SIEM 检测和调查 Windows 进程访问活动。 当一个进程尝试打开或与另一个进程交互时,就会发生进程访问事件。尽管许多此类交互是合法的,但攻击者经常滥用它们来转储凭据、注入恶意代码或操纵正在运行的进程。 本实验的目的是生成进程访问活动,验证 Sysmon 日志记录,在 Wazuh 中调查该事件,并了解 SOC 分析师如何识别可疑的进程交互。 # 实验目的 - 验证 Sysmon 和 Wazuh 服务 - 生成进程访问活动 - 捕获 Sysmon Event ID 10 - 在 Wazuh 中调查进程访问事件 - 分析源进程和目标进程 - 审查 GrantedAccess 权限 - 将发现结果映射到 MITRE ATT&CK # 实验环境 ## 宿主机 - Windows 11 ## 监控 - Sysmon - Wazuh Agent - Wazuh Manager ## 工具 - PowerShell - Process Explorer (Sysinternals) # MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---------|-----------|----| | 凭据访问 | OS Credential Dumping | T1003 | | 防御规避 | Process Injection (相关) | T1055 | # 实验步骤 ## 步骤 1 – 验证服务 ``` Get-Service Sysmon64 Get-Service WazuhSvc ``` ## 步骤 2 – 生成进程访问活动 以管理员身份启动 **Process Explorer**。 让它枚举正在运行的进程大约 **30–60 秒**。 ## 步骤 3 – 验证 Sysmon Event ID 10 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=10)]]" ` -MaxEvents 20 ``` ## 步骤 4 – 查看完整事件 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=10)]]" ` -MaxEvents 1 | Format-List ``` ## 步骤 5 – 在 Wazuh 中调查 搜索: ``` data.win.system.eventID:10 ``` 审查以下字段: - Source Image - Target Image - GrantedAccess - User - Rule Description - CallTrace - Timestamp # 检测逻辑 每当一个进程以特定的访问权限打开另一个进程时,Sysmon 就会生成 **Event ID 10**。 Wazuh 会收集该事件并将其存储,用于威胁狩猎和事件调查。 # 观察到的指标 - 源进程 - 目标进程 - GrantedAccess - User - Call Trace - Process GUID - Process ID - Timestamp # 调查总结 生成的进程访问事件被 Sysmon 成功捕获并转发到了 Wazuh。 调查的重点是识别: - 哪个进程发起了访问 - 哪个进程是目标 - 请求的访问权限 - 该行为是合法的还是潜在的恶意行为 收集的遥测数据提供了足够的证据来了解源进程和目标进程之间的交互。 # MITRE ATT&CK 总结 | 技术 | 描述 | |-----------|-------------| | T1003 | OS Credential Dumping | | T1055 | Process Injection | # 学习成果 完成本实验后,您可以: - 检测进程访问活动 - 调查 Sysmon Event ID 10 - 分析 GrantedAccess 权限 - 识别源进程和目标进程 - 使用 Wazuh 狩猎端点遥测数据 - 将进程访问事件与 MITRE ATT&CK 技术进行关联 # 结论 本实验演示了 Sysmon Event ID 10 如何提供详细的遥测数据来监控进程间交互。 通过使用 Wazuh Threat Hunting,通过审查源进程、目标进程、访问权限和相关元数据,对生成的事件进行了成功调查。了解进程访问事件使 SOC 分析师能够识别通常与凭据转储、进程注入和高级后渗透活动相关的技术。
标签:AI合规, Sysmon, Wazuh, 安全运营, 扫描框架