abhinavkishor9/wazuh-threat-hunting-lab17-multi-stage-attack-simulation

GitHub: abhinavkishor9/wazuh-threat-hunting-lab17-multi-stage-attack-simulation

基于 Sysmon 与 Wazuh SIEM 的多阶段攻击模拟与威胁狩猎实验,帮助 SOC 分析师学习端点遥测数据的采集、调查与事件关联。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab17-多阶段攻击模拟 ## 概述 本实验演示了安全运营中心 (SOC) 分析师如何使用 Sysmon 和 Wazuh 调查一系列攻击者活动。 本练习不分析单一事件,而是模拟了在入侵早期阶段常见的多种攻击者技术。 目的是观察不同的 Windows 活动如何生成 Sysmon 遥测数据,以及 Wazuh 如何摄取这些日志以供调查。 # 实验目的 - 验证 Sysmon 和 Wazuh agent 状态 - 模拟文件下载 - 观察 Process Creation (Sysmon Event ID 1) - 观察 File Creation (Sysmon Event ID 11) - 模拟 Registry Run Key 持久化 - 模拟 Scheduled Task 持久化 - 在 Wazuh 中调查生成的事件 - 关联攻击活动 # 实验环境 主机 - Windows 11 SIEM - Wazuh Manager - Wazuh Dashboard Endpoint 监控 - Sysmon - Wazuh Agent PowerShell - PowerShell 7 # MITRE ATT&CK 映射 | 活动 | 技术 | ATT&CK ID | |-----------|-----------|-----------| | 文件下载 | Ingress Tool Transfer | T1105 | | Process Creation | Command and Scripting Interpreter | T1059 | | Registry Run Key | Registry Run Keys / Startup Folder | T1547.001 | | Scheduled Task | Scheduled Task | T1053.005 | | File Creation | File and Directory Discovery / Artifact Creation | T1083 | # 攻击模拟 ## 步骤 1 验证 Sysmon 服务。 ## 步骤 2 验证 Wazuh Agent 服务。 ## 步骤 3 创建工作目录。 ## 步骤 4 使用 PowerShell 下载示例网页。 ## 步骤 5 观察 Process Creation 事件。 (Sysmon Event ID 1) ## 步骤 6 观察 File Creation 事件。 (Sysmon Event ID 11) ## 步骤 7 创建 Registry Run Key。 ## 步骤 8 创建 Scheduled Task。 ## 步骤 9 在 Wazuh 中调查所有相关事件。 # 执行的调查 以下 Windows artifacts 已成功生成并进行了调查: - PowerShell 执行 - File Creation - Registry 持久化 - Scheduled Task 持久化 出于威胁狩猎的目的,所有活动均可在 Wazuh 中进行搜索。 # 检测机会 SOC 分析师应监控: - PowerShell Web 下载 - 异常的 scheduled tasks - Registry Run key 修改 - 异常文件夹中的 file creation - 父子进程关系 # 展示的技能 - Windows 事件分析 - Sysmon - Wazuh SIEM - 威胁狩猎 - Windows 持久化 - 进程调查 - Registry 分析 - Scheduled Task 分析 - SOC 调查 - MITRE ATT&CK 映射 # 结果 成功模拟了多种攻击者行为,并验证了收集到的 Sysmon 遥测数据可通过 Wazuh 进行搜索,以用于调查和威胁狩猎。
标签:Conpot, FOFA, Sysmon, TGT, Wazuh, Windows安全, 安全实验环境, 攻防演练, 网络信息收集, 网络安全审计