san8301/Splunk-Threat-Hunting-Dashboard

# Splunk 威胁狩猎仪表板 – BOTSv3 数据集 ## 项目概述 本项目演示了使用 Splunk SIEM 和 BOTSv3 数据集进行威胁狩猎和安全分析。通过分析网络流量日志，识别出活动频率异常高的 IP 地址，这可能表明存在可疑或恶意行为。 项目中开发了自定义 SPL 查询，并将其集成到一个交互式 Splunk 仪表板中，该仪表板包含输入令牌，允许按 IP 地址、MAC 地址、地理位置和活动频率进行动态过滤。 截图包含了解释调查流程和威胁识别的注释。 ## 目标 • 使用 Splunk SIEM 分析网络流量日志 • 识别高频 IP 地址作为潜在的失陷指标 • 使用地理信息丰富日志数据 • 开发用于威胁狩猎的 SPL 查询 • 创建交互式调查仪表板 • 演示 SOC 分析师调查方法论 ## 环境 • SIEM 平台：Splunk Enterprise • 数据集：BOTSv3 (Boss of the SOC v3) • 日志类型：网络流量日志 (stream:ip) • 操作系统：Ubuntu Server • 虚拟化：VMware ## 基础 SPL 查询 此查询识别最活跃的源 IP 地址并使用地理数据丰富它们。 ``` index=botsv3 earliest=0 sourcetype="stream:ip" (src_mac=* AND dest_mac=) | stats latest(_time) as _time count by src_ip src_mac | sort - count | iplocation src_ip | search Country= | head 10 | table _time src_ip src_mac count Country ``` ### 查询功能 • 统计每个 IP 地址的活动频率 • 识别最活跃的系统 • 使用地理数据丰富结果 • 确定调查目标的优先级 高频 IP 地址可能表明： • 网络扫描 • 暴力破解活动 • 已攻破的系统 • 命令与控制 (C2) 通信 ## 仪表板令牌化查询 仪表板使用输入令牌动态过滤调查结果。 ``` index=botsv3 earliest=0 sourcetype="stream:ip" (src_mac=$mac_token$ AND dest_mac=*) src_ip=$ip_token$ | stats latest(_time) as _time count by src_ip src_mac | sort - count | iplocation src_ip | search Country="$country_token$" AND count > $count_token$ | table _time src_ip src_mac count Country ``` ### 令牌功能 • `$ip_token$` → 按 IP 地址过滤 • `$mac_token$` → 按 MAC 地址过滤 • `$country_token$` → 按国家过滤 • `$count_token$` → 按活动阈值过滤 这使分析师能够执行针对性的威胁调查，而无需手动修改查询。 ## 仪表板功能 • 交互式调查过滤器 • IP 活动频率分析 • 地理丰富 • 使用 MAC 地址识别设备 • 优先显示威胁可见性 ## 调查工作流程 1. 将网络流量日志摄入 Splunk 2. 按 IP 和 MAC 地址聚合事件 3. 识别高频 IP 地址 4. 使用地理数据丰富结果 5. 使用仪表板输入过滤结果 6. 调查潜在的可疑系统 ## 调查结果 分析识别出一个设备，其生成的活动量显著高于数据集中的其他设备。通过过滤活动计数大于 100 的设备并使用 `head 10` 命令将结果限制为前 10 名，识别出一个 IP 地址为 **104.128.69.207** 且 MAC 地址为 **06:E3:CC:18:AA:33** 的设备，其总活动计数为 **210**。 该活动是在数据集中大约 **2018 年 8 月 20 日下午 2:48** 观察到的。使用 Splunk 中的 `iplocation` 命令，该 IP 地址被赋予了地理信息，发现其源自 **美国**。与该设备相关的异常多的事件使其作为潜在可疑对象脱颖而出，成为进一步调查的候选对象。 虽然 BOTSv3 数据集是模拟的，但此分析演示了安全分析师如何使用 Splunk 仪表板和 SPL 查询快速识别异常网络活动，并确定可能需要深入调查的设备的优先级。 ## 展示的技能 • SIEM 日志分析 • 威胁狩猎方法论 • SPL 查询开发 • 在 Splunk 中创建仪表板 • 使用 iplocation 进行地理丰富 • 使用仪表板令牌进行动态过滤 • 安全调查工作流程 • IOC 识别 ## 项目文件 `queries.txt` – 用于威胁狩猎的 SPL 查询 `macros.txt` – 仪表板过滤宏文档 `dashboard.xml` – 导出的 Splunk 仪表板配置 `screenshots/` – 带注释的仪表板和查询截图 ## 截图 `dashboard-annoted.png` - 显示仪表板过滤器、活动表格和调查工作流程的注释截图 `spl-query.png` - 显示用于分析网络流量和识别可疑 IP 活动的 SPL 查询 `investigation-results.png` - 按事件频率显示 IP 地址以突出显示潜在可疑系统 ## 安全说明 本项目使用 BOTSv3 模拟数据集。未分析任何真实的生产系统。 ## 作者 Syed Naser 网络安全作品集项目 Splunk SIEM 威胁狩猎实验 ## 参考 本项目是使用 BOTSv3 数据集和网络安全教育资源进行的动手学习练习。 • BOTSv3 数据集 – Boss of the SOC v3 • Splunk 文档 • Splunk 仪表板教程 – Tech With Juno YouTube 教程： https://www.youtube.com/watch?v=5U8FSgc47Js

标签：BOTSv3, BurpSuite集成, GitHub, IP 地址批量处理, IP 地理定位, SPL 查询, Threat Hunting, VMware, 仪表盘, 企业安全, 信标分析, 密码管理, 异常检测, 插件系统, 网络安全, 网络流量分析, 网络资产管理, 隐私保护