abhinavkishor9/wazuh-threat-hunting-lab15-registry-run-key-persistence-detection

GitHub: abhinavkishor9/wazuh-threat-hunting-lab15-registry-run-key-persistence-detection

基于 Sysmon 和 Wazuh 平台演示 Windows 注册表 Run Key 持久化检测与威胁狩猎调查的安全实验项目。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab15-registry-run-key-persistence-detection ## 概述 本实验演示了攻击者如何通过修改 Registry Run Key 在 Windows 上建立持久性。 该活动使用 Sysmon Event ID 13(Registry Value Set)进行监控,由 Wazuh Agent 收集,并在 Wazuh Dashboard Threat Hunting 模块中进行调查。 目的是了解从 SOC 分析师的角度来看,基于注册表的持久性是如何呈现的。 ## 实验目标 - 了解 Registry Run Key 持久性 - 生成 Sysmon Event ID 13 - 在 Wazuh 中观察注册表修改 - 调查事件详情 - 分析 JSON 字段 - 清除持久性条目 ## 实验环境 | 组件 | 值 | |-----------|-------| | 主机操作系统 | Windows 11 | | SIEM | Wazuh 4.x | | Agent | Wazuh Agent | | 监控 | Sysmon | | Event ID | 13 | | 技术 | Registry Run Key 持久性 | ## MITRE ATT&CK 映射 | 战术 | 技术 | |---------|-----------| | 持久性 | T1547.001 – Registry Run Keys / 启动文件夹 | ## 执行步骤 ### 步骤 1 验证 Sysmon 和 Wazuh 服务。 ### 步骤 2 创建一个 Registry Run Key。 ``` New-ItemProperty ` -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" ` -Name "SOCLab" ` -Value "notepad.exe" ` -PropertyType String ` -Force ``` ### 步骤 3 验证注册表条目。 ``` Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" ``` ### 步骤 4 确认 Sysmon Event ID 13。 ``` Get-WinEvent ` -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=13)]]" ``` ### 步骤 5 打开 Wazuh Dashboard。 Threat Hunting ↓ 筛选 ``` data.win.system.eventID:13 ``` ### 步骤 6 调查: - 进程名 - 注册表路径 - 事件类型 - 用户 - 镜像 - 时间戳 ### 步骤 7 查看 JSON 事件。 ### 步骤 8 移除 Registry Run Key。 ``` Remove-ItemProperty ` -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" ` -Name "SOCLab" ``` ## 检测工作流 注册表修改 ↓ Sysmon Event ID 13 ↓ Wazuh Agent ↓ Wazuh Manager ↓ Indexer ↓ Threat Hunting ↓ SOC 调查 ## 掌握的技能 - Windows 持久性 - 注册表分析 - Sysmon Event ID 13 - Wazuh Threat Hunting - 事件调查 - SOC 工作流 - MITRE ATT&CK 映射 ## 总结 Registry Run Keys 是攻击者常用的持久性机制,用于在用户登录期间自动执行程序。本实验演示了 Sysmon 如何捕获注册表修改、Wazuh 如何摄取事件,以及 SOC 分析师如何使用 Threat Hunting 调查基于注册表的持久性。
标签:AI合规, Sysmon, Wazuh, 安全实验, 注册表持久化检测