abhinavkishor9/wazuh-threat-hunting-lab18-insider-threat-investigation
GitHub: abhinavkishor9/wazuh-threat-hunting-lab18-insider-threat-investigation
一个使用 Wazuh 和 Sysmon 进行内部威胁调查的威胁狩猎实验,模拟数据收集与暂存场景并引导用户完成完整的事件关联分析。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab18-insider-threat-investigation
## 概述
本实验模拟了一个潜在的内部威胁场景:员工收集机密文档,将其存放到单独的目录中,压缩成 ZIP 归档文件,并删除原始文件。
目标是使用 Sysmon 和 Wazuh 调查生成的遥测数据,将各项活动关联到一个单一的时间线中,并确定观察到的行为是否表明存在数据外泄前的暂存行为。
# 实验目标
- 验证 Sysmon 和 Wazuh 服务
- 创建机密文档
- 将文件暂存到单独的目录中
- 将文件压缩成 ZIP 归档文件
- 删除原始文件
- 调查进程创建事件
- 调查文件创建事件
- 在 Wazuh 中关联相关活动
- 构建内部威胁调查时间线
# 实验环境
## 主机
- Windows 11
## SIEM
- Wazuh Manager
- Wazuh Dashboard
## 终端监控
- Wazuh Agent
- Sysmon
## 工具
- Windows PowerShell
- Compress-Archive
# MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---------|-----------|----|
| Collection | Data from Local System | T1005 |
| Collection | Archive Collected Data | T1560.001 |
| Defense Evasion | File Deletion | T1070.004 |
# 攻击场景
用户执行以下操作:
1. 创建机密业务文档。
2. 将文档复制到暂存文件夹中。
3. 将暂存的文件压缩成 ZIP 归档文件。
4. 删除原始文件。
5. 保留该归档文件以备潜在的数据外泄。
# 调查工作流
1. 验证监控服务。
2. 创建工作目录。
3. 创建机密文档。
4. 暂存文件以供收集。
5. 创建 ZIP 归档文件。
6. 删除原始文件。
7. 调查 Sysmon Event ID 1。
8. 调查 Sysmon Event ID 11。
9. 在 Wazuh 中搜索相关事件。
10. 构建攻击时间线。
# Wazuh 查询
## 进程创建
```
data.win.system.eventID:1
```
## 文件创建
```
data.win.system.eventID:11
```
# 调查总结
调查识别出了一系列通常与内部威胁行为相关的活动。创建了多个机密文件,将其复制到暂存目录中,归档为 ZIP 文件,并删除了原始文件。Wazuh 和 Sysmon 遥测数据使得重构完整的活动时间线成为可能。
# 展示技能
- 威胁狩猎
- 内部威胁调查
- 进程分析
- 文件活动分析
- 时间线关联
- Sysmon 调查
- Wazuh SIEM
- MITRE ATT&CK 映射
# 学习成果
本实验演示了安全分析师如何调查可疑的数据收集和暂存活动,这些活动通常发生在数据外泄企图之前。关联多个终端事件比孤立地分析单个告警能提供更丰富的上下文。
标签:HTTP工具, Sysmon, Wazuh, 内部威胁, 安全实验室, 数据防泄露