abhinavkishor9/wazuh-threat-hunting-lab18-insider-threat-investigation

GitHub: abhinavkishor9/wazuh-threat-hunting-lab18-insider-threat-investigation

一个使用 Wazuh 和 Sysmon 进行内部威胁调查的威胁狩猎实验,模拟数据收集与暂存场景并引导用户完成完整的事件关联分析。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab18-insider-threat-investigation ## 概述 本实验模拟了一个潜在的内部威胁场景:员工收集机密文档,将其存放到单独的目录中,压缩成 ZIP 归档文件,并删除原始文件。 目标是使用 Sysmon 和 Wazuh 调查生成的遥测数据,将各项活动关联到一个单一的时间线中,并确定观察到的行为是否表明存在数据外泄前的暂存行为。 # 实验目标 - 验证 Sysmon 和 Wazuh 服务 - 创建机密文档 - 将文件暂存到单独的目录中 - 将文件压缩成 ZIP 归档文件 - 删除原始文件 - 调查进程创建事件 - 调查文件创建事件 - 在 Wazuh 中关联相关活动 - 构建内部威胁调查时间线 # 实验环境 ## 主机 - Windows 11 ## SIEM - Wazuh Manager - Wazuh Dashboard ## 终端监控 - Wazuh Agent - Sysmon ## 工具 - Windows PowerShell - Compress-Archive # MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---------|-----------|----| | Collection | Data from Local System | T1005 | | Collection | Archive Collected Data | T1560.001 | | Defense Evasion | File Deletion | T1070.004 | # 攻击场景 用户执行以下操作: 1. 创建机密业务文档。 2. 将文档复制到暂存文件夹中。 3. 将暂存的文件压缩成 ZIP 归档文件。 4. 删除原始文件。 5. 保留该归档文件以备潜在的数据外泄。 # 调查工作流 1. 验证监控服务。 2. 创建工作目录。 3. 创建机密文档。 4. 暂存文件以供收集。 5. 创建 ZIP 归档文件。 6. 删除原始文件。 7. 调查 Sysmon Event ID 1。 8. 调查 Sysmon Event ID 11。 9. 在 Wazuh 中搜索相关事件。 10. 构建攻击时间线。 # Wazuh 查询 ## 进程创建 ``` data.win.system.eventID:1 ``` ## 文件创建 ``` data.win.system.eventID:11 ``` # 调查总结 调查识别出了一系列通常与内部威胁行为相关的活动。创建了多个机密文件,将其复制到暂存目录中,归档为 ZIP 文件,并删除了原始文件。Wazuh 和 Sysmon 遥测数据使得重构完整的活动时间线成为可能。 # 展示技能 - 威胁狩猎 - 内部威胁调查 - 进程分析 - 文件活动分析 - 时间线关联 - Sysmon 调查 - Wazuh SIEM - MITRE ATT&CK 映射 # 学习成果 本实验演示了安全分析师如何调查可疑的数据收集和暂存活动,这些活动通常发生在数据外泄企图之前。关联多个终端事件比孤立地分析单个告警能提供更丰富的上下文。
标签:HTTP工具, Sysmon, Wazuh, 内部威胁, 安全实验室, 数据防泄露