jomocasec1990/splunk-threat-hunting

# 🛡️ 使用 Splunk 进行 SOC 威胁狩猎 – 实验与检测技术 该仓库记录了我使用 **Splunk Enterprise** 进行的实战威胁狩猎实验。 这些实验模拟了真实世界的攻击场景，并使用 Splunk 来检测和分析与 **MITRE ATT&CK** 框架对齐的对手技术。 ## 🔍 涵盖的主题 - ✅ Splunk 安装与应用程序设置 (BOTS, Sysmon 等) - ✅ 使用 SPL 进行狩猎：`top`, `rare`, regex, eval 等 - ✅ IOC 检测：DNS, SMB, Web 上传 - ✅ 进程注入, Mimikatz, LSASS, Svchost LOLBAS - ✅ 横向移动：PsExec, WinRM, WMI - ✅ 凭证攻击：Pass-the-Hash, Pass-the-Ticket, Kerberoasting, DCSync - ✅ 使用 MLTK 进行异常检测 (Gaussian, Standard Deviation) - ✅ CTI 丰富化：MISP, AlienVault, VirusTotal, ChatGPT 集成 - ✅ 使用 RITA + Zeek 进行信标通信与 DNS 隧道检测 - ✅ 自动化与集成实验 ## ⚒️ 实验环境 | 组件 | 工具 / 平台 | |------------------|--------------------------------------------------| | **SIEM** | Splunk Enterprise (Developer License) | | **终端** | Windows 10 (Sysmon, Atomic Red Team) | | **服务器** | Ubuntu (Web, Honeypot), Windows Server (AD) | | **防火墙** | Palo Alto NGFW (syslog 至 Splunk) | | **威胁情报源** | MISP, AlienVault OTX, VirusTotal API | | **机器学习/分析** | Splunk MLTK, RITA + Zeek + MongoDB | | **丰富化** | ChatGPT, DNS 工具, CTI 模块 | ## 🔐 网络拓扑 – 区域与 IP 架构 | 区域 | 子网 | 虚拟机 | 备注 | |------------------|-------------------|---------------------------------------------------|-------------------------------------| | 内部网络 | 10.1.1.0/24 | Windows10: 10.1.1.10 | 用户/攻击者终端 | | DMZ 网络 | 10.1.2.0/24 | AD-Konoha: 10.1.2.10, WebServer: 10.1.2.11, Honeypot: 10.1.2.12, Kali: 10.1.2.100 | 面向公网，暴露的服务 | | 管理网络 | 10.1.3.0/24 | Splunk Server: 10.1.3.12, Wazuh: 10.1.3.11, Docker-Server: 10.1.3.10 | 安全工具与后端 | | 外部网络 | 192.168.0.0/24 | Kali (ext): 192.168.0.100 | 互联网模拟 (可选) | ## 🧐 关于我 我是一名拥有 8 年以上经验的网络安全工程师。该项目反映了我使用 Splunk 和 CTI 工具在实际检测和事件响应角色中的实践学习和准备情况。 🔗 [LinkedIn](https://www.linkedin.com/in/jordan-moran-ab5994108/) 🔗 [GitHub](https://github.com/jomocasec1990)

标签：AlienVault, Apex, Ask搜索, Atomic Red Team, ChatGPT, Cloudflare, DCSync, DNS 解析, DNS隧道, IP 地址批量处理, Kerberoasting, LOLBAS, LSASS, Mimikatz, MITRE ATT&CK, MLTK, Modbus, Palo Alto, PE 加载器, Promptflow, PsExec, RITA, Rootkit, SCADA, SPL, SSH蜜罐, Sysmon, TGT, VirusTotal, Windows Server, WinRM, WMI, Zeek, 信标检测, 凭据攻击, 哈希传递, 威胁情报, 子域名变形, 安全实验室, 安全运营中心, 开发者工具, 异常检测, 攻防演练, 数字取证, 数据泄露检测, 无线安全, 机器学习, 模拟器, 横向移动, 活动目录, 流量嗅探, 票据传递, 红队模拟, 编程规范, 网络安全, 网络安全实验, 网络映射, 自动化响应, 自动化脚本, 蜜罐, 证书利用, 进程注入, 逆向工具, 防火墙, 隐私保护