abhinavkishor9/wazuh-threat-hunting-lab14-multi-stage-powershell-attack-investigation

GitHub: abhinavkishor9/wazuh-threat-hunting-lab14-multi-stage-powershell-attack-investigation

基于 Wazuh SIEM 和 Sysmon 的威胁狩猎实验,通过关联多阶段 PowerShell 攻击的端点遥测事件,帮助 SOC 分析师重构攻击时间线并进行事件调查。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab14-多阶段 PowerShell 攻击调查 ## 概述 本实验演示了如何在 Wazuh SIEM 中通过关联多个 Sysmon 事件来调查多阶段攻击。 本次调查并非分析单个事件,而是通过关联由 PowerShell 活动产生的进程创建、网络连接和文件创建事件,重构攻击时间线。 这种方法非常接近安全运营中心 (SOC) 分析师在企业环境中调查端点事件的方式。 # 实验目标 - 生成 PowerShell 活动 - 生成出站网络流量 - 生成文件创建活动 - 调查多个 Sysmon 事件 - 在 Wazuh 中关联端点遥测数据 - 构建攻击时间线 - 将活动映射到 MITRE ATT&CK # 实验环境 ## 主机 - Windows 11 ## 监控 - Sysmon - Wazuh Agent - Wazuh Manager - Wazuh Dashboard ## 工具 - PowerShell - Windows Event Viewer # 攻击场景 用户执行 PowerShell 以访问外部网站。 PowerShell 进程: 1. 开始执行 2. 建立出站 HTTPS 连接 3. 创建本地文件 4. 生成多个 Sysmon 事件 5. 将遥测数据发送到 Wazuh SOC 分析师负责调查所有观察到的事件是否属于同一活动。 # MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---------|-----------|----| | Execution | PowerShell | T1059.001 | | Command and Control | Ingress Tool Transfer | T1105 | # 调查的 Sysmon 事件 | 事件 ID | 描述 | |----------|-------------| | 1 | Process Creation | | 3 | Network Connection | | 11 | File Creation | # 调查步骤 ## 步骤 1 验证 Sysmon 和 Wazuh 服务。 ``` Get-Service Sysmon64 Get-Service WazuhSvc ``` ## 步骤 2 创建工作目录。 ``` New-Item -ItemType Directory -Path C:\SOCLab -Force ``` ## 步骤 3 生成网络活动。 ``` Invoke-WebRequest https://example.com ``` ## 步骤 4 创建本地文件。 ``` "Downloaded content from example.com" | Out-File C:\SOCLab\example.txt ``` ## 步骤 5 审查 Sysmon 事件 ID 1。 ## 步骤 6 审查 Sysmon 事件 ID 3。 ## 步骤 7 审查 Sysmon 事件 ID 11。 ## 步骤 8 在 Wazuh Threat Hunting 中调查这些事件。 ## 步骤 9 将所有事件关联到单个攻击时间线中。 # 检测逻辑 本次调查关联了由单个 PowerShell 进程生成的多个端点事件。 通过分析时间戳、Process GUID、命令行和网络活动,分析师可以确定观察到的行为是否属于单个执行链。 # 观察到的指标 - 进程名称 - 父进程 - 命令行 - 目标 IP - 目标端口 - 文件路径 - 用户名 - 时间戳 - Process GUID # 调查总结 PowerShell 进程成功生成了 Process Creation、Network Connection 和 File Creation 事件。 Sysmon 独立记录了每项活动,而 Wazuh 将遥测数据集中起来以供调查。 关联这些事件使得重构完整的执行时间线成为可能。 # 学习成果 完成本实验后,您将能够: - 关联多个 Sysmon 事件 - 构建攻击时间线 - 调查 PowerShell 活动 - 分析端点遥测数据 - 执行 SOC 风格的事件调查 - 将攻击活动映射到 MITRE ATT&CK # 结论 与专注于单个事件的调查不同,本实验演示了如何关联多个 Sysmon 事件以重构攻击者活动。 通过结合 Process Creation、Network Connection 和 File Creation 遥测数据,SOC 分析师能够全面了解端点行为,并提高事件响应的准确性。
标签:AI合规, OpenCanary, Sysmon, Wazuh, 安全实验, 网络信息收集