视频时间戳导航（点击跳转至YouTube对应段落）

幻灯片下载：https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_WindowsLogginSysmonELK.pdf

• 4:36 问题陈述与执行摘要
• 9:00 Sysmon简要回顾、ELK介绍、ELK组成组件、数据类型对Elasticsearch的影响、观众问答
• 20:51 日志类型解析、Logstash日志处理与导入Elasticsearch流程、Kibana功能及应用技巧
• 27:12 HELK实战演示
• 48:34 Sigma规则探讨、ELK未来规划、问答与总结

内容概述

本讲座于2019年8月26日由John Strand主持，重点解决如何将Windows事件日志转化为可操作的安全数据。内容涵盖：

1. Windows日志的局限性分析：批判性讨论原生日志系统的不足
2. Sysmon的优势与应用：详细讲解Sysmon在事件追踪与威胁检测中的核心作用
3. ELK堆栈集成方案：
   • 使用Winlogbeat采集Windows事件
   • 通过Logstash解析和丰富日志数据
   • 在Elasticsearch中建立高效索引策略
   • 利用Kibana实现可视化监控仪表板
4. HELK实战演示：展示基于ELK的安全分析平台搭建过程
5. 扩展工具链：引入Sigma规则语言实现标准化检测逻辑

进阶学习资源

John Strand亲授课程推荐：

• SOC核心技能
• 主动防御与网络欺骗
• BHIS与MITRE ATT&CK安全入门
• 渗透测试基础

（课程支持直播/虚拟参与及点播学习）