TL;DR

寻找链接并下载，导入组策略对象，参考截图指导。通过Sysmon + Windows审计策略 + 事件收集转发(Handlers) + WinLogBeat + Elasticsearch的组合，构建近乎免费的关键终端监控基线配置。

PART 1 – 构建实验环境

完整跟随本指南需要满足重要前提条件。警告：此环境无法在笔记本电脑上运行，需准备6核CPU、20GB内存和120GB磁盘空间。建议在虚拟环境中部署PF Sense路由器并构建隔离网络。

PFSense VM

1 vCPU, 4GB RAM, 20GB磁盘
WAN: DHCP
LAN: 10.10.98.1/24
VMware部署指南: 链接
.iso下载: 链接

Windows Server 2016 – 域控制器

1 vCPU(建议2核), 4GB内存(建议更多), 32GB磁盘
10.10.98.10/24
DNS: 127.0.0.1
DNS2: 1.1.1.1
域部署脚本: GitHub
跳过ADDS-Step4 – 运行BadBlood – 切勿在企业域中执行此操作

Windows 10 – 域成员工作站

1 vCPU(建议2核), 4GB内存(建议更多), 32GB磁盘
DHCP
已加域

Ubuntu 18.04 – Elastic堆栈和攻击机

2 vCPUs, 8GB RAM, 32GB磁盘
10.10.98.20/24
DNS: 10.10.98.10
DNS2: 1.1.1.1

安装HELK:

1
2
3
4


user# git clone https://github.com/Cyb3rWarD0g/HELK.git
user# sudo -s
root# cd HELK/docker/
root# ./helk_install.sh (约需15分钟)

此时实验环境应大致如下图所示。

Part 2 – Sysmon配置

下载模块化仓库

下载Sysmon模块化仓库: GitHub

该仓库下载后的目录结构包含按Sysmon事件ID组织的配置文件，例如event ID 3的配置目录3_network_connection_initiated包含include/exclude规则文件。建议阅读仓库说明并根据网络实际情况调整规则。

或直接下载预配置的sysmonconfig.xml文件: 链接

生成配置文件

在PowerShell中导航至仓库目录，执行以下命令生成自定义配置：

1
2
3
4


Set-ExecutionPolicy bypass 
Y 
import-module .\Merge-SysmonXml.ps1 
Merge-AllSysmonXml -Path ( Get-ChildItem '[0-9]*\*.xml') -AsString | Out-File sysmonconfig.xml

手动安装Sysmon

从微软官网下载Sysmon后执行：

1

sysmon64.exe -accepteula -i sysmonconfig.xml

对所有实验系统重复此过程。配置更新时运行：

1

sysmon.exe -c sysmonconfig.xml

组策略部署

参考SysPanda文章创建启动脚本调用sysmon-gpo.bat，并将GPO链接到目标组织单元。

部署Windows Optics全指南：命令、下载、配置与截图详解

本文详细讲解了如何通过Sysmon、Windows审计策略、事件转发和WinLogBeat构建端到端安全监控系统，包含实验室环境搭建、GPO配置、日志收集与Elasticsearch集成等完整技术方案。