视频章节跳转(YouTube时间码)
- 4:36 问题陈述与管理层视角
- 9:00 Sysmon快速回顾/ELK组件解析/数据类型对Elasticsearch的影响/观众答疑
- 20:51 日志类型分类/Logstash日志处理流程/Kibana功能详解/工具使用技巧
- 27:12 HELK实战演示
- 48:34 Sigma规则探讨/ELK未来规划/Q&A环节
内容概要
本讲座由John Strand于2019年8月26日录制,重点解决Windows事件日志的采集与分析难题。内容包含:
- 批判性分析Windows原生日志的缺陷
- Sysmon的高效事件监控能力解析
- 将Sysmon日志接入ELK技术栈的完整方案:
- HELK(安全增强版ELK堆栈)部署演示
- Winlogbeat日志传输工具配置(尽管命名糟糕但功能强大)
- Kibana可视化与安全事件关联分析实战
进阶学习推荐
John Strand亲授课程:
- SOC核心技能
- 主动防御与网络欺骗
- MITRE ATT&CK实战入门
- 渗透测试基础
技术亮点:通过ELK实现Windows安全日志的集中化处理与威胁狩猎,HELK集成Sigma规则支持威胁检测标准化。