0x0allenace/Threat-Hunting-Recon

# 使用 Splunk 进行网络威胁狩猎 — 第 1 部分：侦察 **作者：** Allen Ace **实验室：** 家庭 DFIR 实验室 (Oracle VirtualBox + BOTS v2) **日期：** 2025-09-25 ## 执行摘要 本文档描述了使用 Splunk 和 *Boss of the SOC (BOTS) v2* 数据集进行的动手威胁狩猎练习。重点是检测通过**非标准浏览器**对面向公众的 Web 服务器进行的侦察。主要发现包括一个可疑的 user agent (`NaenaraBrowser`) 通过 ExpressVPN IP 连接并下载了 `company_contacts.xlsx`。 ## 目标与目的 -

标签：BOTS v2, BurpSuite集成, IOC 提取, IP 地址批量处理, IP 透视, NaenaraBrowser, SPL, Splunk 查询, Threat Hunting, User Agent, VPN 检测, Web 服务器, 主机安全, 安全运营, 实验环境, 密码管理, 异常检测, 扫描框架, 数字取证, 案例研究, 溯源分析, 端口 80, 网络安全, 自动化脚本, 隐私保护