abhinavkishor9/wazuh-threat-hunting-lab17-multi-stage-attack-simulation
GitHub: abhinavkishor9/wazuh-threat-hunting-lab17-multi-stage-attack-simulation
基于 Sysmon 与 Wazuh SIEM 的多阶段攻击模拟与威胁狩猎实验,帮助 SOC 分析师学习端点遥测数据的采集、调查与事件关联。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab17-多阶段攻击模拟
## 概述
本实验演示了安全运营中心 (SOC) 分析师如何使用 Sysmon 和 Wazuh 调查一系列攻击者活动。
本练习不分析单一事件,而是模拟了在入侵早期阶段常见的多种攻击者技术。
目的是观察不同的 Windows 活动如何生成 Sysmon 遥测数据,以及 Wazuh 如何摄取这些日志以供调查。
# 实验目的
- 验证 Sysmon 和 Wazuh agent 状态
- 模拟文件下载
- 观察 Process Creation (Sysmon Event ID 1)
- 观察 File Creation (Sysmon Event ID 11)
- 模拟 Registry Run Key 持久化
- 模拟 Scheduled Task 持久化
- 在 Wazuh 中调查生成的事件
- 关联攻击活动
# 实验环境
主机
- Windows 11
SIEM
- Wazuh Manager
- Wazuh Dashboard
Endpoint 监控
- Sysmon
- Wazuh Agent
PowerShell
- PowerShell 7
# MITRE ATT&CK 映射
| 活动 | 技术 | ATT&CK ID |
|-----------|-----------|-----------|
| 文件下载 | Ingress Tool Transfer | T1105 |
| Process Creation | Command and Scripting Interpreter | T1059 |
| Registry Run Key | Registry Run Keys / Startup Folder | T1547.001 |
| Scheduled Task | Scheduled Task | T1053.005 |
| File Creation | File and Directory Discovery / Artifact Creation | T1083 |
# 攻击模拟
## 步骤 1
验证 Sysmon 服务。
## 步骤 2
验证 Wazuh Agent 服务。
## 步骤 3
创建工作目录。
## 步骤 4
使用 PowerShell 下载示例网页。
## 步骤 5
观察 Process Creation 事件。
(Sysmon Event ID 1)
## 步骤 6
观察 File Creation 事件。
(Sysmon Event ID 11)
## 步骤 7
创建 Registry Run Key。
## 步骤 8
创建 Scheduled Task。
## 步骤 9
在 Wazuh 中调查所有相关事件。
# 执行的调查
以下 Windows artifacts 已成功生成并进行了调查:
- PowerShell 执行
- File Creation
- Registry 持久化
- Scheduled Task 持久化
出于威胁狩猎的目的,所有活动均可在 Wazuh 中进行搜索。
# 检测机会
SOC 分析师应监控:
- PowerShell Web 下载
- 异常的 scheduled tasks
- Registry Run key 修改
- 异常文件夹中的 file creation
- 父子进程关系
# 展示的技能
- Windows 事件分析
- Sysmon
- Wazuh SIEM
- 威胁狩猎
- Windows 持久化
- 进程调查
- Registry 分析
- Scheduled Task 分析
- SOC 调查
- MITRE ATT&CK 映射
# 结果
成功模拟了多种攻击者行为,并验证了收集到的 Sysmon 遥测数据可通过 Wazuh 进行搜索,以用于调查和威胁狩猎。
标签:Conpot, FOFA, Sysmon, TGT, Wazuh, Windows安全, 安全实验环境, 攻防演练, 网络信息收集, 网络安全审计