abhinavkishor9/wazuh-threat-hunting-lab16-powershell-download-investigation

GitHub: abhinavkishor9/wazuh-threat-hunting-lab16-powershell-download-investigation

基于 Wazuh SIEM 和 Sysmon 遥测数据的威胁狩猎实验,演示如何关联多个事件调查 PowerShell 下载活动并重建攻击时间线。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab16-powershell-下载调查 ## 概述 本实验演示了 SOC 分析师如何使用 Wazuh 收集的 Sysmon 遥测数据来调查 PowerShell 下载活动。 本次调查不分析单一事件,而是关联多个 Sysmon 事件以重建攻击时间线,包括进程创建、网络通信和文件创建。 目的是模拟一种常见的攻击者技术,即使用 PowerShell 从互联网下载内容,并使用 Wazuh Threat Hunting 调查该活动。 # 实验目标 - 生成 PowerShell 下载活动 - 检测 Sysmon 进程创建事件 - 检测网络连接事件 - 检测文件创建事件 - 在 Wazuh 中关联事件 - 构建调查时间线 - 练习 SOC 警报分诊技术 # 使用技术 - Wazuh SIEM - Sysmon - Windows 11 - PowerShell - Windows 事件日志 # MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---------|-----------|----| | Execution | PowerShell | T1059.001 | | Command and Control | Application Layer Protocol | T1071.001 | | Ingress Tool Transfer | Ingress Tool Transfer | T1105 | # 实验环境 **主机** - Windows 11 **监控** - Wazuh Agent - Sysmon **SIEM** - Wazuh Dashboard # 攻击模拟 一条 PowerShell 命令使用 Invoke-WebRequest 从互联网下载了文件。 该活动生成了多个 Sysmon 事件,这些事件被转发至 Wazuh 进行调查。 # 调查工作流 1. 执行 PowerShell 下载。 2. 验证下载的文件。 3. 审查 Sysmon Event ID 1。 4. 审查 Sysmon Event ID 3。 5. 审查 Sysmon Event ID 11。 6. 在 Wazuh 中搜索事件。 7. 关联 Process ID 和 Process GUID。 8. 构建攻击时间线。 # Wazuh 查询 ## 进程创建 ``` data.win.system.eventID:1 ``` ## 网络连接 ``` data.win.system.eventID:3 ``` ## 文件创建 ``` data.win.system.eventID:11 ``` # 调查总结 调查确认 PowerShell 从外部网站发起了一次下载操作。Sysmon 成功捕获了进程执行、网络通信以及随后的文件创建。Wazuh 摄取了这些事件,使分析师能够关联相关的遥测数据并重建活动时间线。 # 展示技能 - Threat Hunting - PowerShell 调查 - 事件关联 - 时间线分析 - 进程调查 - 网络调查 - Wazuh SIEM - Sysmon 分析 - MITRE ATT&CK 映射 # 学习成果 本实验演示了如何关联多个 Sysmon 事件来调查 PowerShell 下载活动,提供了类似于真实 SOC 调查的经验,在真实调查中,分析师需要跨多个事件源重建攻击者的行为。
标签:AI合规, OpenCanary, SOC分析, Sysmon, Wazuh, 安全实验环境, 网络信息收集