abhinavkishor9/wazuh-threat-hunting-lab16-powershell-download-investigation
GitHub: abhinavkishor9/wazuh-threat-hunting-lab16-powershell-download-investigation
基于 Wazuh SIEM 和 Sysmon 遥测数据的威胁狩猎实验,演示如何关联多个事件调查 PowerShell 下载活动并重建攻击时间线。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab16-powershell-下载调查
## 概述
本实验演示了 SOC 分析师如何使用 Wazuh 收集的 Sysmon 遥测数据来调查 PowerShell 下载活动。
本次调查不分析单一事件,而是关联多个 Sysmon 事件以重建攻击时间线,包括进程创建、网络通信和文件创建。
目的是模拟一种常见的攻击者技术,即使用 PowerShell 从互联网下载内容,并使用 Wazuh Threat Hunting 调查该活动。
# 实验目标
- 生成 PowerShell 下载活动
- 检测 Sysmon 进程创建事件
- 检测网络连接事件
- 检测文件创建事件
- 在 Wazuh 中关联事件
- 构建调查时间线
- 练习 SOC 警报分诊技术
# 使用技术
- Wazuh SIEM
- Sysmon
- Windows 11
- PowerShell
- Windows 事件日志
# MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---------|-----------|----|
| Execution | PowerShell | T1059.001 |
| Command and Control | Application Layer Protocol | T1071.001 |
| Ingress Tool Transfer | Ingress Tool Transfer | T1105 |
# 实验环境
**主机**
- Windows 11
**监控**
- Wazuh Agent
- Sysmon
**SIEM**
- Wazuh Dashboard
# 攻击模拟
一条 PowerShell 命令使用 Invoke-WebRequest 从互联网下载了文件。
该活动生成了多个 Sysmon 事件,这些事件被转发至 Wazuh 进行调查。
# 调查工作流
1. 执行 PowerShell 下载。
2. 验证下载的文件。
3. 审查 Sysmon Event ID 1。
4. 审查 Sysmon Event ID 3。
5. 审查 Sysmon Event ID 11。
6. 在 Wazuh 中搜索事件。
7. 关联 Process ID 和 Process GUID。
8. 构建攻击时间线。
# Wazuh 查询
## 进程创建
```
data.win.system.eventID:1
```
## 网络连接
```
data.win.system.eventID:3
```
## 文件创建
```
data.win.system.eventID:11
```
# 调查总结
调查确认 PowerShell 从外部网站发起了一次下载操作。Sysmon 成功捕获了进程执行、网络通信以及随后的文件创建。Wazuh 摄取了这些事件,使分析师能够关联相关的遥测数据并重建活动时间线。
# 展示技能
- Threat Hunting
- PowerShell 调查
- 事件关联
- 时间线分析
- 进程调查
- 网络调查
- Wazuh SIEM
- Sysmon 分析
- MITRE ATT&CK 映射
# 学习成果
本实验演示了如何关联多个 Sysmon 事件来调查 PowerShell 下载活动,提供了类似于真实 SOC 调查的经验,在真实调查中,分析师需要跨多个事件源重建攻击者的行为。
标签:AI合规, OpenCanary, SOC分析, Sysmon, Wazuh, 安全实验环境, 网络信息收集