0x0allenace/threat-hunting-initial-access

# 使用 Splunk 进行威胁狩猎 – 初始访问 本仓库记录了一个使用 Splunk 和 BOTS v2 数据集进行的**逐步网络威胁狩猎练习**。 它重点关注通过钓鱼邮件进行的**初始访问**、**用户执行**的检测以及**失陷指标**的分析。 ## 仓库结构 - `hunts/part2_initial_access/HUNT-Part2-Initial-Access.md` → 主要演练 - `hunts/part2_initial_access/queries/splunk/` → 所有使用的 SPL 查询 - `hunts/part2_initial_access/images/` → 辅助截图 - `hunts/part2_initial_access/artifacts/` → IOC 和标头样本 - `docs/HOW_TO_RUN_SPL_QUERIES.md` → 运行 SPL 查询的快速指南 ## 快速入门 1. 打开 [HUNT-Part2-Initial-Access.md](hunts/part2_initial_access/HUNT-Part2-Initial-Access.md) 2. 将 `queries/splunk/` 中的 SPL 查询复制到 Splunk 3. 结合 `images/` 中的截图进行跟踪操作 ## 🔗 攻击生命周期系列 本项目是多阶段威胁狩猎系列的一部分： 1. [Part 1: Reconnaissance](https://github.com/0x0allenace/threat-hunting-recon) 2. Part 2: Initial Access（本仓库） 每个阶段都建立在前一个阶段的基础上，以模拟真实的攻击调查工作流。 ## 致谢 数据集：[Splunk BOTS v2](https://bots.splunk.com/)

标签：BOTS数据集, Cloudflare, HTTP/HTTPS抓包, IOC开发, MITRE ATT&CK, SPL查询, 初始访问, 威胁情报, 安全运营, 开发者工具, 态势感知, 扫描框架, 搜索语句（dork）, 攻击调查, 漏洞分析, 用户执行, 网络安全, 路径探测, 隐私保护, 鱼叉钓鱼