视频章节导航（点击跳转至YouTube对应时段）

幻灯片下载链接

• 4:36 问题陈述与管理层视角
• 9:00 Sysmon功能回顾/ELK组件解析/数据类型对Elasticsearch的影响/观众问答
• 20:51 多类型日志处理/Logstash日志导入机制/Kibana可视化应用技巧
• 27:12 HELK平台实战演示
• 48:34 Sigma规则集成/ELK未来规划/问答环节

技术核心内容

本次直播由John Strand主讲，重点解决Windows原生日志的效用局限性问题，内容包含：

1. Sysmon技术优势：突破Windows默认日志的缺陷，实现进程跟踪、网络连接监控等高级功能
2. ELK堆栈集成方案：
   • 通过Winlogbeat采集Windows事件日志（工具命名彩蛋吐槽）
   • HELK（ Hunting ELK ）开源威胁分析平台部署演示
   • Logstash管道配置与Elasticsearch索引优化策略
3. 安全分析工作流：
   • Kibana仪表板构建实时监控视图
   • 结合Sigma规则实现标准化威胁检测

延伸学习：John Strand的专项课程《SOC核心技能》《主动防御与网络欺骗》提供更深入技术指导
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码