abhinavkishor9/wazuh-threat-hunting-lab14-multi-stage-powershell-attack-investigation
GitHub: abhinavkishor9/wazuh-threat-hunting-lab14-multi-stage-powershell-attack-investigation
基于 Wazuh SIEM 和 Sysmon 的威胁狩猎实验,通过关联多阶段 PowerShell 攻击的端点遥测事件,帮助 SOC 分析师重构攻击时间线并进行事件调查。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab14-多阶段 PowerShell 攻击调查
## 概述
本实验演示了如何在 Wazuh SIEM 中通过关联多个 Sysmon 事件来调查多阶段攻击。
本次调查并非分析单个事件,而是通过关联由 PowerShell 活动产生的进程创建、网络连接和文件创建事件,重构攻击时间线。
这种方法非常接近安全运营中心 (SOC) 分析师在企业环境中调查端点事件的方式。
# 实验目标
- 生成 PowerShell 活动
- 生成出站网络流量
- 生成文件创建活动
- 调查多个 Sysmon 事件
- 在 Wazuh 中关联端点遥测数据
- 构建攻击时间线
- 将活动映射到 MITRE ATT&CK
# 实验环境
## 主机
- Windows 11
## 监控
- Sysmon
- Wazuh Agent
- Wazuh Manager
- Wazuh Dashboard
## 工具
- PowerShell
- Windows Event Viewer
# 攻击场景
用户执行 PowerShell 以访问外部网站。
PowerShell 进程:
1. 开始执行
2. 建立出站 HTTPS 连接
3. 创建本地文件
4. 生成多个 Sysmon 事件
5. 将遥测数据发送到 Wazuh
SOC 分析师负责调查所有观察到的事件是否属于同一活动。
# MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---------|-----------|----|
| Execution | PowerShell | T1059.001 |
| Command and Control | Ingress Tool Transfer | T1105 |
# 调查的 Sysmon 事件
| 事件 ID | 描述 |
|----------|-------------|
| 1 | Process Creation |
| 3 | Network Connection |
| 11 | File Creation |
# 调查步骤
## 步骤 1
验证 Sysmon 和 Wazuh 服务。
```
Get-Service Sysmon64
Get-Service WazuhSvc
```
## 步骤 2
创建工作目录。
```
New-Item -ItemType Directory -Path C:\SOCLab -Force
```
## 步骤 3
生成网络活动。
```
Invoke-WebRequest https://example.com
```
## 步骤 4
创建本地文件。
```
"Downloaded content from example.com" | Out-File C:\SOCLab\example.txt
```
## 步骤 5
审查 Sysmon 事件 ID 1。
## 步骤 6
审查 Sysmon 事件 ID 3。
## 步骤 7
审查 Sysmon 事件 ID 11。
## 步骤 8
在 Wazuh Threat Hunting 中调查这些事件。
## 步骤 9
将所有事件关联到单个攻击时间线中。
# 检测逻辑
本次调查关联了由单个 PowerShell 进程生成的多个端点事件。
通过分析时间戳、Process GUID、命令行和网络活动,分析师可以确定观察到的行为是否属于单个执行链。
# 观察到的指标
- 进程名称
- 父进程
- 命令行
- 目标 IP
- 目标端口
- 文件路径
- 用户名
- 时间戳
- Process GUID
# 调查总结
PowerShell 进程成功生成了 Process Creation、Network Connection 和 File Creation 事件。
Sysmon 独立记录了每项活动,而 Wazuh 将遥测数据集中起来以供调查。
关联这些事件使得重构完整的执行时间线成为可能。
# 学习成果
完成本实验后,您将能够:
- 关联多个 Sysmon 事件
- 构建攻击时间线
- 调查 PowerShell 活动
- 分析端点遥测数据
- 执行 SOC 风格的事件调查
- 将攻击活动映射到 MITRE ATT&CK
# 结论
与专注于单个事件的调查不同,本实验演示了如何关联多个 Sysmon 事件以重构攻击者活动。
通过结合 Process Creation、Network Connection 和 File Creation 遥测数据,SOC 分析师能够全面了解端点行为,并提高事件响应的准确性。
标签:AI合规, OpenCanary, Sysmon, Wazuh, 安全实验, 网络信息收集